Des pirates informatiques russes exploitent la faille zero-day 7-Zip pour cibler l'Ukraine
Des pirates russes ont été surpris en train d'exploiter une vulnérabilité zero-day dans 7-Zip, l'utilisant pour infiltrer des entités gouvernementales ukrainiennes. La faille, identifiée comme CVE-2025-0411, permettait aux attaquants de contourner la protection Mark-of-the-Web (MoTW) de Windows, les aidant ainsi à diffuser des charges utiles malveillantes sans être détectées.
Table of Contents
La faille zero-day 7-Zip et son exploitation
La vulnérabilité, qui a reçu un score CVSS de 7,0, a été découverte pour la première fois en septembre 2024 et n'a pas été corrigée jusqu'en novembre 2024, date de la sortie de la version 24.09 de 7-Zip. Elle provenait d'une faille dans la façon dont 7-Zip gérait la propagation de MoTW.
MoTW est un mécanisme de sécurité Windows conçu pour avertir les utilisateurs des fichiers téléchargés à partir de sources non fiables. Cependant, 7-Zip n'a pas réussi à étendre les protections MoTW aux fichiers extraits d'une archive, ce qui a permis aux attaquants d'intégrer des logiciels malveillants dans des fichiers à double archive. Si une victime extrayait et ouvrait ces fichiers, la charge malveillante pourrait s'exécuter sans déclencher d'avertissements de sécurité.
La campagne SmokeLoader cible les entités ukrainiennes
Les chercheurs en sécurité de Trend Micro ont confirmé que des cybercriminels pro-russes ont exploité la faille CVE-2025-0411 dans une campagne déployant SmokeLoader, un chargeur de malware bien connu utilisé pour le cyberespionnage.
Les assaillants ont envoyé des pièces jointes piégées contenant des archives malveillantes à des agences gouvernementales et à des entreprises ukrainiennes. Ces courriels provenaient de comptes ukrainiens précédemment compromis, notamment ceux du Service exécutif de l'État ukrainien (SES), une branche du ministère ukrainien de la Justice.
Pour rendre l'attaque plus trompeuse, les pirates ont utilisé une attaque homoglyphe, une technique qui consiste à remplacer certains caractères par des alternatives visuellement similaires. Dans ce cas, la lettre cyrillique « Es » a été remplacée pour faire apparaître l'archive interne comme un document Word (.doc). Cela a incité les destinataires à ouvrir le fichier, exécutant ainsi l'exploit sans le savoir.
Qui était ciblé ?
L'enquête de Trend Micro a identifié plusieurs organisations ukrainiennes ciblées par cette attaque, notamment :
- SES (Service exécutif de l'État ukrainien)
- PrJSC ZAZ (usine automobile de Zaporizhzhia)
- Kyivpastrans (service de transport public de Kiev)
- Kyivvodokanal (Service d'approvisionnement en eau de Kiev)
- SEA (fabricant d'électronique)
- Administration d'État du district de Verkhovyna
- VUSA (compagnie d'assurance)
- Pharmacie régionale de Dnipro
- Conseil municipal de Zalishchyky
Les chercheurs estiment que cette liste n’est pas exhaustive et que de nombreuses autres organisations pourraient avoir été ciblées. Les attaquants se sont concentrés sur les organismes gouvernementaux de plus petite taille, qui disposent souvent de défenses en matière de cybersécurité plus faibles. Ces entités compromises pourraient ensuite servir de tremplin pour infiltrer des réseaux gouvernementaux plus vastes.
Mesures défensives et correctifs
Les organisations qui utilisent 7-Zip doivent immédiatement mettre à jour la version 24.09 pour corriger le CVE-2025-0411. De plus, les utilisateurs doivent rester prudents lorsqu'ils ouvrent des fichiers archivés à partir d'e-mails, en particulier ceux provenant de sources inconnues ou inattendues.
L’Ukraine reste une cible privilégiée des cyberattaques russes, et l’exploitation des vulnérabilités logicielles reste une tactique clé dans la cyberguerre. Alors que les attaquants continuent d’affiner leurs techniques, la vigilance et la mise en place rapide de correctifs sont essentielles pour atténuer les menaces futures.
