Russische hackers misbruiken 7-Zip Zero-Day om Oekraïne aan te vallen
Russische dreigingsactoren zijn betrapt op het uitbuiten van een zero-day kwetsbaarheid in 7-Zip, waarmee ze Oekraïense overheidsinstanties infiltreerden. De fout, gevolgd als CVE-2025-0411, stelde aanvallers in staat om de Mark-of-the-Web (MoTW)-beveiliging van Windows te omzeilen, waardoor ze onopgemerkt schadelijke payloads konden leveren.
Table of Contents
De 7-Zip Zero-Day en de exploitatie ervan
De kwetsbaarheid, die een CVSS-score van 7,0 kreeg, werd voor het eerst ontdekt in september 2024 en bleef ongepatcht tot november 2024, toen 7-Zip versie 24.09 werd uitgebracht. Het kwam voort uit een fout in de manier waarop 7-Zip MoTW-propagatie afhandelde.
MoTW is een Windows-beveiligingsmechanisme dat is ontworpen om gebruikers te waarschuwen voor bestanden die zijn gedownload van niet-vertrouwde bronnen. 7-Zip slaagde er echter niet in om MoTW-beveiliging uit te breiden naar bestanden die uit een archief zijn geëxtraheerd, waardoor aanvallers malware konden verpakken in dubbel gearchiveerde bestanden. Als een slachtoffer deze bestanden zou extraheren en openen, zou de schadelijke payload kunnen worden uitgevoerd zonder beveiligingswaarschuwingen te activeren.
SmokeLoader-campagne richt zich op Oekraïense entiteiten
Beveiligingsonderzoekers bij Trend Micro hebben bevestigd dat cybercriminelen met banden met Rusland CVE-2025-0411 hebben misbruikt in een campagne waarbij SmokeLoader werd geïmplementeerd, een bekende malware-loader die wordt gebruikt voor cyberespionage.
De aanvallers stuurden boobytrap-e-mailbijlagen met schadelijke archieven naar Oekraïense overheidsinstanties en bedrijven. Deze e-mails waren afkomstig van eerder gecompromitteerde Oekraïense accounts, waaronder die van de State Executive Service of Ukraine (SES), een tak van het Oekraïense ministerie van Justitie.
Om de aanval nog misleidender te maken, gebruikten hackers een homoglyph-aanval, een techniek die bepaalde tekens vervangt door visueel vergelijkbare alternatieven. In dit geval werd de Cyrillische letter "Es" vervangen om het interne archief te laten lijken op een Word-document (.doc). Dit misleidde ontvangers om het bestand te openen en voerde onbewust de exploit uit.
Wie was het doelwit?
Uit het onderzoek van Trend Micro is gebleken dat meerdere Oekraïense organisaties het doelwit waren van deze aanval, waaronder:
- SES (Staatsuitvoerende Dienst van Oekraïne)
- PrJSC ZAZ (autofabriek Zaporizja)
- Kyivpastrans (openbaar vervoer in Kiev)
- Kyivvodokanal (watervoorziening van Kiev)
- SEA (elektronicafabrikant)
- Staatsbestuur van het district Verchovyna
- VUSA (verzekeringsmaatschappij)
- Regionale apotheek van Dnipro
- Gemeenteraad van Zalishchyky
Onderzoekers geloven dat deze lijst niet uitputtend is en dat er mogelijk nog veel meer organisaties het doelwit zijn geweest. De aanvallers richtten zich op kleinere overheidsinstanties, die vaak zwakkere cybersecurity-verdedigingen hebben. Deze gecompromitteerde entiteiten kunnen vervolgens worden gebruikt als opstapjes om grotere overheidsnetwerken te infiltreren.
Defensieve maatregelen en patches
Organisaties die 7-Zip gebruiken, moeten onmiddellijk updaten naar versie 24.09 om CVE-2025-0411 te patchen. Daarnaast moeten gebruikers voorzichtig zijn bij het openen van gearchiveerde bestanden uit e-mails, vooral die van onbekende of onverwachte bronnen.
Oekraïne blijft een belangrijk doelwit voor Russische cyberaanvallen en het uitbuiten van softwarekwetsbaarheden blijft een belangrijke tactiek in cyberoorlogvoering. Terwijl aanvallers hun technieken blijven verfijnen, zijn waakzaamheid en snelle patching van cruciaal belang om toekomstige bedreigingen te beperken.
