Az LNK metaadatok nyomvonalának követése
A Microsoft 2022 elején bejelentette, hogy hamarosan elkezdi alapértelmezés szerint letiltani a makrókat az internetről letöltött Office-dokumentumokban. A változtatásokat június körül hajtották végre, hogy aztán még abban a hónapban eltávolítsák a funkciót. A funkciót végül július végén újra engedélyezték. A Cisco Talos megfigyelte, hogy a fenyegető szereplők a rosszindulatú makrókról, mint kezdeti hozzáférési módszerről más típusú futtatható mellékletekre váltottak. A Talos néhány kártevő nyomon követése során megfigyelte a rosszindulatú LNK fájlok népszerűsödését, mint a payload-ok letöltésének és futtatásának kezdeti hozzáférési módszerét. Az LNK-fájlok közelebbi vizsgálata azt szemlélteti, hogy metaadataik hogyan használhatók fel az új kampányok azonosítására és nyomon követésére. A Cisco Talos elemezte az LNK-fájlok metaadatait, és összefüggésbe hozta azokat a fenyegető szereplők taktikai technikáival és eljárásaival (TTP), hogy azonosítani és követni tudja a fenyegető szereplők tevékenységét.