Russiske hackere udnytter 7-Zip Zero-Day til at målrette mod Ukraine
Russiske trusselsaktører er blevet taget i at udnytte en nul-dages sårbarhed i 7-Zip ved at bruge den til at infiltrere ukrainske regeringsenheder. Fejlen, sporet som CVE-2025-0411, gjorde det muligt for angribere at omgå Windows' Mark-of-the-Web (MoTW)-beskyttelse, hvilket hjalp dem med at levere ondsindede nyttelaster uopdaget.
Table of Contents
7-Zip Zero-Day og dens udnyttelse
Sårbarheden, som fik en CVSS-score på 7.0, blev først opdaget i september 2024 og forblev upatchet indtil november 2024, hvor 7-Zip version 24.09 blev frigivet. Det stammede fra en fejl i den måde, 7-Zip håndterede MoTW-udbredelse på.
MoTW er en Windows-sikkerhedsmekanisme designet til at advare brugere om filer, der er downloadet fra upålidelige kilder. 7-Zip formåede dog ikke at udvide MoTW-beskyttelsen til filer udtrukket fra et arkiv, hvilket tillod angribere at pakke malware i dobbeltarkiverede filer. Hvis et offer udpakkede og åbnede disse filer, kunne den ondsindede nyttelast udføres uden at udløse sikkerhedsadvarsler.
SmokeLoader-kampagne er rettet mod ukrainske enheder
Sikkerhedsforskere hos Trend Micro bekræftede, at russisk-justerede cyberkriminelle udnyttede CVE-2025-0411 i en kampagne, der implementerede SmokeLoader, en velkendt malware-loader, der bruges til cyberespionage.
Angriberne sendte e-mail-vedhæftede filer med ondsindede arkiver til ukrainske regeringsorganer og virksomheder. Disse e-mails stammede fra tidligere kompromitterede ukrainske konti, herunder dem fra Ukraines statslige eksekutivtjeneste (SES), en afdeling af det ukrainske justitsministerium.
For at gøre angrebet mere vildledende brugte hackere et homoglyfangreb - en teknik, der erstatter visse karakterer med visuelt lignende alternativer. I dette tilfælde blev det kyrilliske bogstav "Es" erstattet for at få det indre arkiv til at fremstå som et Word-dokument (.doc). Dette narrede modtagere til at åbne filen og ubevidst eksekvere udnyttelsen.
Hvem blev målrettet?
Trend Micros undersøgelse identificerede flere ukrainske organisationer, der var målrettet i dette angreb, herunder:
- SES (State Executive Service of Ukraine)
- PrJSC ZAZ (Zaporizhzhia automobilfabrik)
- Kyivpastrans (Kyivs offentlige transporttjeneste)
- Kyivvodokanal (Kyivs vandforsyningstjeneste)
- SEA (elektronikproducent)
- Verkhovyna distriktets statsadministration
- VUSA (forsikringsselskab)
- Dnipro regionale apotek
- Zalishchyky byråd
Forskere mener, at denne liste ikke er udtømmende, og at mange flere organisationer kan være blevet målrettet. Angriberne fokuserede på mindre regeringsorganer, som ofte har svagere cybersikkerhedsforsvar. Disse kompromitterede enheder kunne derefter bruges som trædesten til at infiltrere større offentlige netværk.
Defensive foranstaltninger og patching
Organisationer, der bruger 7-Zip, bør straks opdatere til version 24.09 for at patch CVE-2025-0411. Derudover bør brugere være forsigtige, når de åbner arkiverede filer fra e-mails, især dem fra ukendte eller uventede kilder.
Ukraine er fortsat et primært mål for russiske cyberangreb, og udnyttelse af softwaresårbarheder er fortsat en nøgletaktik i cyberkrigsførelse. Mens angribere fortsætter med at forfine deres teknikker, er årvågenhed og hurtig patchning afgørende for at afbøde fremtidige trusler.
