Ρώσοι χάκερ εκμεταλλεύονται το 7-Zip Zero-Day για να στοχεύσουν την Ουκρανία

Ρώσοι παράγοντες απειλών έχουν πιαστεί να εκμεταλλεύονται μια ευπάθεια zero-day στο 7-Zip, χρησιμοποιώντας το για να διεισδύσουν σε κυβερνητικές οντότητες της Ουκρανίας. Το ελάττωμα, που εντοπίστηκε ως CVE-2025-0411, επέτρεψε στους εισβολείς να παρακάμψουν την προστασία Mark-of-the-Web (MoTW) των Windows, βοηθώντας τους να παραδίδουν κακόβουλα ωφέλιμα φορτία απαρατήρητα.

Το 7-Zip Zero-Day και η αξιοποίησή του

Η ευπάθεια, η οποία έλαβε βαθμολογία CVSS 7,0, ανακαλύφθηκε για πρώτη φορά τον Σεπτέμβριο του 2024 και παρέμεινε χωρίς επιδιόρθωση μέχρι τον Νοέμβριο του 2024, όταν κυκλοφόρησε η 7-Zip έκδοση 24.09. Προήλθε από ένα ελάττωμα στον τρόπο με τον οποίο το 7-Zip χειρίστηκε τη διάδοση του MoTW.

Το MoTW είναι ένας μηχανισμός ασφαλείας των Windows που έχει σχεδιαστεί για να προειδοποιεί τους χρήστες σχετικά με αρχεία που έχουν ληφθεί από μη αξιόπιστες πηγές. Ωστόσο, το 7-Zip απέτυχε να επεκτείνει τις προστασίες MoTW σε αρχεία που εξήχθησαν από ένα αρχείο, επιτρέποντας στους εισβολείς να συσκευάσουν κακόβουλο λογισμικό σε διπλά αρχειοθετημένα αρχεία. Εάν ένα θύμα εξήγαγε και άνοιγε αυτά τα αρχεία, το κακόβουλο ωφέλιμο φορτίο θα μπορούσε να εκτελεστεί χωρίς να ενεργοποιήσει τυχόν προειδοποιήσεις ασφαλείας.

Η καμπάνια SmokeLoader στοχεύει οντότητες της Ουκρανίας

Ερευνητές ασφαλείας στο Trend Micro επιβεβαίωσαν ότι κυβερνοεγκληματίες ευθυγραμμισμένοι με τη Ρωσία εκμεταλλεύτηκαν το CVE-2025-0411 σε μια καμπάνια που αναπτύσσει το SmokeLoader, ένα γνωστό πρόγραμμα φόρτωσης κακόβουλου λογισμικού που χρησιμοποιείται για την κυβερνοκατασκοπεία.

Οι επιτιθέμενοι έστειλαν συνημμένα email που περιείχαν κακόβουλα αρχεία σε κρατικές υπηρεσίες και επιχειρήσεις της Ουκρανίας. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου προέρχονται από προηγουμένως παραβιασμένους ουκρανικούς λογαριασμούς, συμπεριλαμβανομένων εκείνων της Κρατικής Εκτελεστικής Υπηρεσίας της Ουκρανίας (SES), ενός κλάδου του ουκρανικού Υπουργείου Δικαιοσύνης.

Για να κάνουν την επίθεση πιο παραπλανητική, οι χάκερ χρησιμοποίησαν μια επίθεση με ομογλυφικά — μια τεχνική που αντικαθιστά ορισμένους χαρακτήρες με οπτικά παρόμοιες εναλλακτικές. Σε αυτήν την περίπτωση, το κυριλλικό γράμμα "Es" αντικαταστάθηκε για να εμφανιστεί το εσωτερικό αρχείο ως έγγραφο του Word (.doc). Αυτό ξεγέλασε τους παραλήπτες να ανοίξουν το αρχείο, εκτελώντας εν αγνοία τους την εκμετάλλευση.

Ποιος ήταν στο στόχαστρο;

Η έρευνα της Trend Micro εντόπισε πολλές ουκρανικές οργανώσεις που στοχοποιήθηκαν σε αυτήν την επίθεση, όπως:

• SES (Κρατική Εκτελεστική Υπηρεσία της Ουκρανίας)
• PrJSC ZAZ (εργοστάσιο αυτοκινήτων Zaporizhzhia)
• Kyivpastrans (δημόσιες συγκοινωνίες του Κιέβου)
• Kyivvodokanal (υπηρεσία ύδρευσης του Κιέβου)
• SEA (κατασκευαστής ηλεκτρονικών)
• Κρατική διοίκηση της περιφέρειας Verkhovyna
• VUSA (ασφαλιστική εταιρεία)
• Περιφερειακό φαρμακείο Dnipro
• Δημοτικό Συμβούλιο Zalishchyky

Οι ερευνητές πιστεύουν ότι αυτή η λίστα δεν είναι εξαντλητική και ότι μπορεί να έχουν στοχοποιηθεί πολλοί περισσότεροι οργανισμοί. Οι επιτιθέμενοι επικεντρώθηκαν σε μικρότερους κυβερνητικούς φορείς, οι οποίοι συχνά έχουν ασθενέστερη άμυνα στον κυβερνοχώρο. Αυτές οι παραβιασμένες οντότητες θα μπορούσαν στη συνέχεια να χρησιμοποιηθούν ως σκαλοπάτι για να διεισδύσουν σε μεγαλύτερα κυβερνητικά δίκτυα.

Αμυντικά μέτρα και επιδιόρθωση

Οι οργανισμοί που χρησιμοποιούν 7-Zip θα πρέπει να ενημερώσουν αμέσως την έκδοση 24.09 για να επιδιορθώσουν το CVE-2025-0411. Επιπλέον, οι χρήστες θα πρέπει να είναι προσεκτικοί όταν ανοίγουν αρχειοθετημένα αρχεία από μηνύματα ηλεκτρονικού ταχυδρομείου, ειδικά αυτά από άγνωστες ή μη αναμενόμενες πηγές.

Η Ουκρανία παραμένει πρωταρχικός στόχος για τις ρωσικές επιθέσεις στον κυβερνοχώρο και η εκμετάλλευση των τρωτών σημείων του λογισμικού παραμένει βασική τακτική στον κυβερνοπόλεμο. Καθώς οι επιτιθέμενοι συνεχίζουν να βελτιώνουν τις τεχνικές τους, η επαγρύπνηση και η γρήγορη επιδιόρθωση είναι ζωτικής σημασίας για τον μετριασμό των μελλοντικών απειλών.