Rosyjscy hakerzy wykorzystują 7-Zip Zero-Day do ataku na Ukrainę
Rosyjscy aktorzy zagrożeń zostali przyłapani na wykorzystywaniu luki typu zero-day w 7-Zip, używając jej do infiltracji ukraińskich jednostek rządowych. Luka, śledzona jako CVE-2025-0411, pozwoliła atakującym ominąć ochronę Windows Mark-of-the-Web (MoTW), pomagając im dostarczać złośliwe ładunki bez wykrycia.
Table of Contents
7-Zip Zero-Day i jego wykorzystanie
Luka, która otrzymała wynik CVSS 7,0, została odkryta po raz pierwszy we wrześniu 2024 r. i pozostała niezałatana do listopada 2024 r., kiedy to wydano wersję 7-Zip 24.09. Wynikała z błędu w sposobie, w jaki 7-Zip obsługiwał propagację MoTW.
MoTW to mechanizm bezpieczeństwa systemu Windows zaprojektowany w celu ostrzegania użytkowników przed plikami pobieranymi z niezaufanych źródeł. Jednak 7-Zip nie rozszerzył ochrony MoTW na pliki wyodrębnione z archiwum, co pozwoliło atakującym na pakowanie złośliwego oprogramowania w podwójnie zarchiwizowane pliki. Jeśli ofiara wyodrębniła i otworzyła te pliki, złośliwy ładunek mógł zostać wykonany bez wywoływania żadnych ostrzeżeń bezpieczeństwa.
Kampania SmokeLoader wymierzona w podmioty ukraińskie
Analitycy ds. bezpieczeństwa z Trend Micro potwierdzili, że cyberprzestępcy powiązani z Rosją wykorzystali lukę CVE-2025-0411 w kampanii polegającej na wdrożeniu SmokeLoadera, znanego programu ładującego złośliwe oprogramowanie wykorzystywanego do cyberszpiegostwa.
Atakujący wysłali do ukraińskich agencji rządowych i firm załączniki do wiadomości e-mail z pułapkami zawierającymi złośliwe archiwa. Wiadomości te pochodziły z wcześniej naruszonych ukraińskich kont, w tym kont Państwowej Służby Wykonawczej Ukrainy (SES), oddziału ukraińskiego Ministerstwa Sprawiedliwości.
Aby uczynić atak bardziej zwodniczym, hakerzy użyli ataku homoglifowego — techniki polegającej na zastępowaniu pewnych znaków wizualnie podobnymi alternatywami. W tym przypadku cyrylica „Es” została podstawiona, aby wewnętrzne archiwum wyglądało jak dokument Word (.doc). To oszukało odbiorców, aby otworzyli plik, nieświadomie wykonując exploit.
Kto był celem?
Śledztwo Trend Micro ujawniło, że celem ataku było wiele organizacji ukraińskich, w tym:
- SES (Państwowa Służba Wykonawcza Ukrainy)
- PrJSC ZAZ (Zaporoże fabryka samochodów)
- Kyivpastrans (kijowski transport publiczny)
- Kyivvodokanal (Kijowskie wodociągi)
- SEA (producent elektroniki)
- Administracja państwowa rejonu wierchowińskiego
- VUSA (towarzystwo ubezpieczeniowe)
- Apteka obwodowa Dniepru
- Rada miejska Zaliszczyki
Naukowcy uważają, że ta lista nie jest wyczerpująca i że celem mogło być wiele innych organizacji. Atakujący skupili się na mniejszych organach rządowych, które często mają słabsze zabezpieczenia cyberbezpieczeństwa. Te zagrożone podmioty mogłyby zostać wykorzystane jako kamienie milowe do infiltracji większych sieci rządowych.
Środki obronne i łatanie
Organizacje korzystające z programu 7-Zip powinny natychmiast dokonać aktualizacji do wersji 24.09, aby zastosować łatkę CVE-2025-0411. Ponadto użytkownicy powinni zachować ostrożność podczas otwierania zarchiwizowanych plików z wiadomości e-mail, zwłaszcza tych pochodzących z nieznanych lub nieoczekiwanych źródeł.
Ukraina pozostaje głównym celem rosyjskich cyberataków, a wykorzystywanie luk w zabezpieczeniach oprogramowania pozostaje kluczową taktyką w cyberwojnie. W miarę jak atakujący udoskonalają swoje techniki, czujność i szybkie łatanie są kluczowe w łagodzeniu przyszłych zagrożeń.
