Russiske hackere utnytter 7-Zip Zero-Day for å målrette Ukraina
Russiske trusselaktører har blitt tatt for å utnytte en null-dagers sårbarhet i 7-Zip, ved å bruke den til å infiltrere ukrainske myndigheter. Feilen, sporet som CVE-2025-0411, tillot angripere å omgå Windows' Mark-of-the-Web (MoTW)-beskyttelse, og hjalp dem med å levere skadelige nyttelaster uoppdaget.
Table of Contents
7-Zip Zero-Day og dens utnyttelse
Sårbarheten, som fikk en CVSS-score på 7.0, ble først oppdaget i september 2024 og forble uopprettet til november 2024, da 7-Zip versjon 24.09 ble utgitt. Det stammet fra en feil i måten 7-Zip håndterte MoTW-utbredelse på.
MoTW er en Windows-sikkerhetsmekanisme utviklet for å advare brukere om filer som er lastet ned fra ikke-klarerte kilder. Imidlertid klarte ikke 7-Zip å utvide MoTW-beskyttelsen til filer som er hentet ut fra et arkiv, slik at angripere kan pakke skadevare i dobbeltarkiverte filer. Hvis et offer hentet ut og åpnet disse filene, kunne den ondsinnede nyttelasten kjøres uten å utløse noen sikkerhetsadvarsler.
SmokeLoader-kampanje retter seg mot ukrainske enheter
Sikkerhetsforskere ved Trend Micro bekreftet at russisk-justerte nettkriminelle utnyttet CVE-2025-0411 i en kampanje som implementerte SmokeLoader, en velkjent malware-laster som brukes til nettspionasje.
Angriperne sendte e-postvedlegg som inneholdt ondsinnede arkiver til ukrainske myndigheter og virksomheter. Disse e-postene stammer fra tidligere kompromitterte ukrainske kontoer, inkludert de fra State Executive Service of Ukraine (SES), en avdeling av det ukrainske justisdepartementet.
For å gjøre angrepet mer villedende brukte hackere et homoglyfangrep – en teknikk som erstatter visse karakterer med visuelt lignende alternativer. I dette tilfellet ble den kyrilliske bokstaven "Es" erstattet for å få det indre arkivet til å fremstå som et Word-dokument (.doc). Dette lurte mottakere til å åpne filen, uten å vite det.
Hvem ble målrettet?
Trend Micros etterforskning identifiserte flere ukrainske organisasjoner målrettet i dette angrepet, inkludert:
- SES (State Executive Service of Ukraine)
- PrJSC ZAZ (Zaporizhzhia bilfabrikk)
- Kyivpastrans (Kyivs offentlige transporttjeneste)
- Kyivvodokanal (Kyivs vannforsyningstjeneste)
- SEA (elektronikkprodusent)
- Verkhovyna distrikts statsadministrasjon
- VUSA (forsikringsselskap)
- Dnipro regionale apotek
- Zalishchyky bystyre
Forskere mener denne listen ikke er uttømmende, og at mange flere organisasjoner kan ha blitt målrettet. Angriperne fokuserte på mindre statlige organer, som ofte har svakere cybersikkerhetsforsvar. Disse kompromitterte enhetene kan deretter brukes som springbrett for å infiltrere større statlige nettverk.
Defensive tiltak og patching
Organisasjoner som bruker 7-Zip bør umiddelbart oppdatere til versjon 24.09 for å lappe CVE-2025-0411. I tillegg bør brukere være forsiktige når de åpner arkiverte filer fra e-poster, spesielt de fra ukjente eller uventede kilder.
Ukraina er fortsatt et hovedmål for russiske cyberangrep, og utnyttelse av programvaresårbarheter er fortsatt en nøkkeltaktikk i cyberkrigføring. Ettersom angripere fortsetter å avgrense teknikkene sine, er årvåkenhet og rask oppdatering avgjørende for å redusere fremtidige trusler.
