Rusijos įsilaužėliai išnaudoja 7-Zip Zero-Day, kad nusitaikytų į Ukrainą

Rusijos grėsmės veikėjai buvo sugauti besinaudojantys 7-Zip nulinės dienos pažeidžiamumu, naudodami jį, kad įsiskverbtų į Ukrainos vyriausybės subjektus. Defektas, pažymėtas kaip CVE-2025-0411, leido užpuolikams apeiti „Windows Mark-of-the-Web“ (MoTW) apsaugą, o tai padėjo jiems nepastebimai pristatyti kenksmingus krovinius.

7 Zip Zero-Day ir jos išnaudojimas

Pažeidžiamumas, kurio CVSS balas buvo 7,0, pirmą kartą buvo aptiktas 2024 m. rugsėjį ir liko nepataisytas iki 2024 m. lapkričio mėn., kai buvo išleista 7-Zip 24.09 versija. Tai atsirado dėl to, kaip 7-Zip tvarkė MoTW platinimą, trūkumo.

MoTW yra „Windows“ saugos mechanizmas, skirtas įspėti vartotojus apie failus, atsisiųstus iš nepatikimų šaltinių. Tačiau 7-Zip nepavyko išplėsti MoTW apsaugos į failus, ištrauktus iš archyvo, todėl užpuolikai galėjo supakuoti kenkėjiškas programas į dvigubus archyvuotus failus. Jei auka ištrauks ir atidarys šiuos failus, kenkėjiška apkrova gali būti vykdoma nesukeliant jokių saugumo įspėjimų.

„SmokeLoader“ kampanija skirta Ukrainos subjektams

„Trend Micro“ saugumo tyrinėtojai patvirtino, kad Rusijos kibernetiniai nusikaltėliai išnaudojo CVE-2025-0411 kampanijoje, kurioje įdiegė „SmokeLoader“ – gerai žinomą kenkėjiškų programų įkroviklį, naudojamą kibernetiniam šnipinėjimui.

Užpuolikai Ukrainos vyriausybinėms įstaigoms ir įmonėms išsiuntė el. laiškų priedus su kenkėjiškais archyvais. Šie el. laiškai buvo gauti iš anksčiau pažeistų Ukrainos paskyrų, įskaitant Ukrainos valstybės vykdomosios tarnybos (SES), Ukrainos teisingumo ministerijos padalinio, paskyras.

Kad ataka būtų apgaulingesnė, įsilaužėliai naudojo homoglifinę ataką – techniką, kuri pakeičia tam tikrus simbolius vizualiai panašiomis alternatyvomis. Šiuo atveju kirilicos raidė „Es“ buvo pakeista, kad vidinis archyvas būtų rodomas kaip „Word“ dokumentas (.doc). Tai privertė gavėjus atidaryti failą, nesąmoningai vykdant išnaudojimą.

Kas buvo nukreiptas?

„Trend Micro“ tyrimas nustatė kelias Ukrainos organizacijas, nukreiptas į šią ataką, įskaitant:

• SES (Ukrainos valstybinė vykdomoji tarnyba)
• PrJSC ZAZ (Zaporožės automobilių gamykla)
• Kyivpastrans (Kijevo viešojo transporto paslauga)
• Kyivvodokanal (Kijevo vandens tiekimo tarnyba)
• SEA (elektronikos gamintojas)
• Verchovynos rajono valstybinė administracija
• VUSA (draudimo bendrovė)
• Dniepro regioninė vaistinė
• Zališčikų miesto taryba

Tyrėjai mano, kad šis sąrašas nėra baigtinis ir galėjo būti nukreipta į daug daugiau organizacijų. Užpuolikai daugiausia dėmesio skyrė mažesnėms vyriausybinėms institucijoms, kurios dažnai turi silpnesnę kibernetinio saugumo apsaugą. Tada šie pažeisti subjektai galėtų būti naudojami kaip atspirties taškai įsiskverbti į didesnius vyriausybės tinklus.

Apsaugos priemonės ir pataisymas

Organizacijos, naudojančios 7-Zip, turėtų nedelsdamos atnaujinti į 24.09 versiją, kad pataisytų CVE-2025-0411. Be to, vartotojai turėtų būti atsargūs atidarydami archyvuotus failus iš el. laiškų, ypač iš nežinomų ar netikėtų šaltinių.

Ukraina išlieka pagrindiniu Rusijos kibernetinių atakų taikiniu, o programinės įrangos pažeidžiamumų išnaudojimas išlieka pagrindine kibernetinio karo taktika. Užpuolikams ir toliau tobulinant savo techniką, budrumas ir greitas pataisymas yra labai svarbūs siekiant sušvelninti būsimas grėsmes.