Russische Hacker nutzen 7-Zip Zero-Day für Angriffe auf die Ukraine
Russische Bedrohungsakteure wurden dabei erwischt, wie sie eine Zero-Day-Sicherheitslücke in 7-Zip ausnutzten und damit ukrainische Regierungsstellen infiltrierten. Der Fehler mit der Bezeichnung CVE-2025-0411 ermöglichte es Angreifern, den Mark-of-the-Web-Schutz (MoTW) von Windows zu umgehen und so unentdeckt bösartige Payloads zu liefern.
Table of Contents
Der 7-Zip Zero-Day und seine Ausnutzung
Die Schwachstelle, die einen CVSS-Score von 7,0 erhielt, wurde erstmals im September 2024 entdeckt und blieb bis November 2024 ungepatcht, als 7-Zip Version 24.09 veröffentlicht wurde. Sie resultierte aus einem Fehler in der Art und Weise, wie 7-Zip die MoTW-Verbreitung handhabte.
MoTW ist ein Windows-Sicherheitsmechanismus, der Benutzer vor Dateien warnt, die aus nicht vertrauenswürdigen Quellen heruntergeladen wurden. 7-Zip konnte den MoTW-Schutz jedoch nicht auf aus einem Archiv extrahierte Dateien ausdehnen, sodass Angreifer Malware in doppelt archivierte Dateien packen konnten. Wenn ein Opfer diese Dateien extrahierte und öffnete, konnte die bösartige Nutzlast ausgeführt werden, ohne Sicherheitswarnungen auszulösen.
SmokeLoader-Kampagne zielt auf ukrainische Unternehmen ab
Sicherheitsforscher von Trend Micro bestätigten, dass mit Russland verbündete Cyberkriminelle CVE-2025-0411 in einer Kampagne ausnutzten, bei der SmokeLoader eingesetzt wurde, ein bekannter Malware-Loader, der für Cyberspionage verwendet wird.
Die Angreifer schickten mit Sprengsätzen versehene E-Mail-Anhänge mit bösartigen Archiven an ukrainische Regierungsbehörden und Unternehmen. Diese E-Mails stammten von zuvor kompromittierten ukrainischen Konten, darunter auch solche des Staatlichen Exekutivdienstes der Ukraine (SES), einer Abteilung des ukrainischen Justizministeriums.
Um den Angriff noch hinterlistiger zu gestalten, verwendeten die Hacker einen Homoglyphenangriff – eine Technik, bei der bestimmte Zeichen durch optisch ähnliche Alternativen ersetzt werden. In diesem Fall wurde der kyrillische Buchstabe „Es“ ersetzt, damit das innere Archiv wie ein Word-Dokument (.doc) aussah. Dadurch wurden die Empfänger dazu verleitet, die Datei zu öffnen und unwissentlich den Exploit auszuführen.
Wer wurde ins Visier genommen?
Die Untersuchung von Trend Micro identifizierte mehrere ukrainische Organisationen, die Ziel dieses Angriffs waren, darunter:
- SES (Staatlicher Exekutivdienst der Ukraine)
- PrJSC ZAZ (Automobilwerk Saporischschja)
- Kyivpastrans (öffentlicher Nahverkehrsdienst von Kiew)
- Kyivvodokanal (Kiewer Wasserversorgungsbetrieb)
- SEA (Elektronikhersteller)
- Staatliche Verwaltung des Bezirks Werchowyna
- VUSA (Versicherungsgesellschaft)
- Apotheke der Region Dnipro
- Stadtrat von Salischtschyki
Die Forscher gehen davon aus, dass diese Liste nicht vollständig ist und dass möglicherweise noch viele weitere Organisationen ins Visier genommen wurden. Die Angreifer konzentrierten sich auf kleinere Regierungsbehörden, die oft über eine schwächere Cybersicherheit verfügen. Diese kompromittierten Einrichtungen könnten dann als Sprungbrett für die Infiltration größerer Regierungsnetzwerke genutzt werden.
Abwehrmaßnahmen und Patching
Organisationen, die 7-Zip verwenden, sollten umgehend auf Version 24.09 aktualisieren, um CVE-2025-0411 zu patchen. Darüber hinaus sollten Benutzer beim Öffnen archivierter Dateien aus E-Mails vorsichtig sein, insbesondere wenn diese aus unbekannten oder unerwarteten Quellen stammen.
Die Ukraine bleibt ein Hauptziel für russische Cyberangriffe und die Ausnutzung von Software-Schwachstellen bleibt eine Schlüsseltaktik im Cyberkrieg. Da die Angreifer ihre Techniken ständig verfeinern, sind Wachsamkeit und schnelles Patchen von entscheidender Bedeutung, um zukünftige Bedrohungen einzudämmen.
