Gli hacker russi sfruttano lo zero-day di 7-Zip per colpire l'Ucraina

Gli autori di minacce russe sono stati sorpresi a sfruttare una vulnerabilità zero-day in 7-Zip, usandola per infiltrarsi in entità governative ucraine. La falla, tracciata come CVE-2025-0411, ha consentito agli aggressori di aggirare la protezione Mark-of-the-Web (MoTW) di Windows, aiutandoli a distribuire payload dannosi senza essere rilevati.

Lo Zero-Day di 7-Zip e il suo sfruttamento

La vulnerabilità, che ha ricevuto un punteggio CVSS di 7.0, è stata scoperta per la prima volta a settembre 2024 ed è rimasta senza patch fino a novembre 2024, quando è stata rilasciata la versione 24.09 di 7-Zip. Deriva da un difetto nel modo in cui 7-Zip gestiva la propagazione MoTW.

MoTW è un meccanismo di sicurezza di Windows progettato per avvisare gli utenti sui file scaricati da fonti non attendibili. Tuttavia, 7-Zip non è riuscito a estendere le protezioni MoTW ai file estratti da un archivio, consentendo agli aggressori di impacchettare malware in file con doppio archivio. Se una vittima estraeva e apriva questi file, il payload dannoso poteva essere eseguito senza attivare alcun avviso di sicurezza.

La campagna SmokeLoader prende di mira le entità ucraine

I ricercatori di sicurezza di Trend Micro hanno confermato che i criminali informatici filorussi hanno sfruttato CVE-2025-0411 in una campagna che utilizzava SmokeLoader, un noto caricatore di malware utilizzato per attività di cyberspionaggio.

Gli aggressori hanno inviato allegati e-mail trappola contenenti archivi dannosi ad agenzie governative e aziende ucraine. Queste e-mail provenivano da account ucraini compromessi in precedenza, tra cui quelli del State Executive Service of Ukraine (SES), una branca del Ministero della Giustizia ucraino.

Per rendere l'attacco più ingannevole, gli hacker hanno utilizzato un attacco homoglyph, una tecnica che sostituisce determinati caratteri con alternative visivamente simili. In questo caso, la lettera cirillica "Es" è stata sostituita per far apparire l'archivio interno come un documento Word (.doc). Ciò ha indotto i destinatari ad aprire il file, eseguendo inconsapevolmente l'exploit.

Chi è stato preso di mira?

L'indagine di Trend Micro ha identificato diverse organizzazioni ucraine prese di mira da questo attacco, tra cui:

• SES (Servizio esecutivo statale dell'Ucraina)
• PrJSC ZAZ (stabilimento automobilistico di Zaporizhzhia)
• Kyivpastrans (servizio di trasporto pubblico di Kiev)
• Kyivvodokanal (servizio di approvvigionamento idrico di Kiev)
• SEA (produttore di elettronica)
• Amministrazione statale del distretto di Verkhovyna
• VUSA (compagnia di assicurazione)
• Farmacia regionale Dnipro
• Consiglio comunale di Zalishchyky

I ricercatori ritengono che questa lista non sia esaustiva e che molte altre organizzazioni potrebbero essere state prese di mira. Gli aggressori si sono concentrati su enti governativi più piccoli, che spesso hanno difese di sicurezza informatica più deboli. Queste entità compromesse potrebbero quindi essere utilizzate come trampolini di lancio per infiltrarsi in reti governative più grandi.

Misure difensive e patching

Le organizzazioni che utilizzano 7-Zip dovrebbero aggiornare immediatamente alla versione 24.09 per correggere CVE-2025-0411. Inoltre, gli utenti dovrebbero essere cauti quando aprono file archiviati da e-mail, in particolare quelli provenienti da fonti sconosciute o inaspettate.

L'Ucraina rimane un obiettivo primario per gli attacchi informatici russi e sfruttare le vulnerabilità del software rimane una tattica chiave nella guerra informatica. Mentre gli aggressori continuano a perfezionare le loro tecniche, la vigilanza e la rapida applicazione delle patch sono fondamentali per mitigare le minacce future.