Эксперты HarfangLab выявили, что злоумышленники используют малоизвестную уязвимость в обработке Windows LNK-файлов (ZDI-CAN-25373), позволяющую вредоносному коду скрываться за невидимыми аргументами в ярлыках. «Пользователю они кажутся безопасными, но фактически запускают цепочку загрузчиков и шпионских модулей XDigo, способных похищать документы, делать скриншоты и красть данные из буфера обмена», — пояснил руководитель группы аналитики.
Жданухин добавил: «GSOC компании "Газинформсервис" помогает внедрить уровень разведки и защиты, сопоставимый с уровнем угрозы. Используя проактивный поиск угроз (Threat Hunting), GSOC анализирует нестандартные паттерны в LNK-файлах и подозрительную активность PowerShell-команд, даже когда атаки замаскированы под "безобидные" ярлыки. При обнаружении подобных аномалий команда SOC способна организовать защиту: блокировать загрузку вторичных DLL-библиотек, инициировать оперативное реагирование и провести ретроспективный анализ инцидента. Такой подход превращает GSOC в активную систему обороны, способную нейтрализовать сложные шпионские кампании до нанесения ущерба».
