De nieuwste aanvalstactieken van cybercriminelen in Oekraïne kunnen ook Nederlandse organisaties raken, vooral vanwege gedeelde infrastructuur en gerecyclede aanvalstechnieken.
CERT-UA heeft in de tweede helft van 2024 een reeks nieuwe aanvalsmethoden waargenomen. Hierbij wordt gebruik gemaakt van een kwaadaardig PDF-document dat een slachtoffer een link laat openen. Deze link, in combinatie met het misbruik van de kwetsbaarheid CVE-2024-38213, leidt tot de downloads van een LNK-bestand met de filternaam ‘pdf.lnk’. Wanneer dit bestand wordt geopend, voert het een PowerShell-opdracht uit. Deze opdracht downloadt en toont niet alleen een misleidend ogend document, maar installeert ook schadelijke software op de computer van het slachtoffer.
De malware zorgt vervolgens voor zijn eigen persistentie door zichzelf in de Windows ‘Run’-sleutel toe te voegen, en voert uitvoerbare (EXE) of dynamische link-library (DLL) bestanden uit zonder verdere melding.
Dit incident onderstreept het toenemende risico op opzettelijke exploits van veelgebruikte kwetsbaarheden, wat roep om alertheid en proactieve beveiligingsmaatregelen.
Lees het volledige artikel op de website van CERT-UA.
