Az orosz hackerek kihasználják a 7-zip nulladik napot, hogy megcélozzák Ukrajnát
Az orosz fenyegetés szereplőit rajtakapták a 7-Zip nulladik napi sebezhetőségének kihasználásán, és ezzel beszivárogtak az ukrán kormányzati szervekbe. A CVE-2025-0411 jelzésű hiba lehetővé tette a támadók számára, hogy megkerüljék a Windows Mark-of-the-Web (MoTW) védelmét, és így észrevétlenül juttatják el a rosszindulatú rakományokat.
Table of Contents
A 7-zip nulladik nap és annak kihasználása
A sérülékenységet, amely 7.0-s CVSS-pontszámot kapott, először 2024 szeptemberében fedezték fel, és 2024 novemberéig nem javították, amikor is megjelent a 7-Zip 24.09-es verziója. Ez abból a hibából fakadt, ahogyan a 7-Zip kezelte a MoTW terjedését.
A MoTW egy Windows biztonsági mechanizmus, amelynek célja, hogy figyelmeztesse a felhasználókat a nem megbízható forrásokból letöltött fájlokra. A 7-Zip azonban nem tudta kiterjeszteni a MoTW védelmét az archívumból kivont fájlokra, így a támadók kettős archivált fájlokba csomagolhatják a rosszindulatú programokat. Ha egy áldozat kicsomagolja és megnyitja ezeket a fájlokat, a rosszindulatú rakomány végrehajtódhat anélkül, hogy bármilyen biztonsági figyelmeztetést kiváltana.
A SmokeLoader kampány ukrán entitásokat céloz meg
A Trend Micro biztonsági kutatói megerősítették, hogy az oroszokhoz kötődő kiberbűnözők kihasználták a CVE-2025-0411-et a SmokeLoader nevű, jól ismert, kiberkémkedésre használt rosszindulatú programbetöltőt telepítő kampányban.
A támadók rosszindulatú archívumokat tartalmazó, csapdába esett e-mail-mellékleteket küldtek ukrán kormányzati szerveknek és vállalkozásoknak. Ezek az e-mailek korábban feltört ukrán fiókokból származnak, köztük az Ukrajnai Állami Végrehajtó Szolgálattól (SES), az ukrán igazságügyi minisztérium egyik részlegétől.
A támadás megtévesztőbbé tétele érdekében a hackerek homoglif támadást alkalmaztak – egy olyan technikát, amely bizonyos karaktereket vizuálisan hasonló alternatívákkal helyettesít. Ebben az esetben a cirill „Es” betűt helyettesítették, hogy a belső archívum Word-dokumentumként (.doc) jelenjen meg. Ez rávette a címzetteket a fájl megnyitására, tudtukon kívül végrehajtva a kihasználást.
Ki volt a célpont?
A Trend Micro vizsgálata több ukrán szervezetet is azonosított, amelyek célpontjai a támadás, többek között:
- SES (Ukrajna Állami Végrehajtó Szolgálata)
- PrJSC ZAZ (zaporizsiai autógyár)
- Kyivpastrans (Kijev tömegközlekedési szolgáltatása)
- Kyivvodokanal (Kijev vízellátási szolgáltatása)
- SEA (elektronikai gyártó)
- Verhovina kerületi államigazgatás
- VUSA (biztosító)
- Dnyipro regionális gyógyszertár
- Zaliscsiki városi tanács
A kutatók úgy vélik, hogy ez a lista nem teljes, és sokkal több szervezet is célponttá válhatott. A támadók kisebb kormányzati szervekre összpontosítottak, amelyek gyakran gyengébb kiberbiztonsági védelemmel rendelkeznek. Ezeket a kompromittált entitásokat aztán lépcsőfokként lehetne használni a nagyobb kormányzati hálózatokba való beszivárgáshoz.
Védelmi intézkedések és foltozás
A 7-Zip-et használó szervezeteknek azonnal frissíteniük kell a 24.09-es verzióra a CVE-2025-0411 javításhoz. Ezenkívül a felhasználóknak óvatosnak kell lenniük, amikor e-mailekből archivált fájlokat nyitnak meg, különösen az ismeretlen vagy váratlan forrásokból származóakat.
Ukrajna továbbra is az orosz kibertámadások elsődleges célpontja, és a szoftveres sebezhetőségek kihasználása továbbra is kulcsfontosságú taktika a kiberhadviselésben. Ahogy a támadók tovább finomítják technikáikat, az éberség és a gyors javítás kritikus fontosságú a jövőbeli fenyegetések mérséklésében.
