Российские хакеры используют уязвимость нулевого дня 7-Zip для атаки на Украину
Российские злоумышленники были пойманы на использовании уязвимости нулевого дня в 7-Zip, используя ее для проникновения в украинские правительственные структуры. Уязвимость, отслеживаемая как CVE-2025-0411, позволяла злоумышленникам обходить защиту Windows Mark-of-the-Web (MoTW), помогая им доставлять вредоносные полезные нагрузки незамеченными.
Table of Contents
Уязвимость нулевого дня 7-Zip и ее эксплуатация
Уязвимость, получившая оценку CVSS 7.0, была впервые обнаружена в сентябре 2024 года и оставалась неисправленной до ноября 2024 года, когда была выпущена версия 7-Zip 24.09. Она возникла из-за недостатка в том, как 7-Zip обрабатывал распространение MoTW.
MoTW — это механизм безопасности Windows, разработанный для предупреждения пользователей о файлах, загруженных из ненадежных источников. Однако 7-Zip не смог распространить защиту MoTW на файлы, извлеченные из архива, что позволило злоумышленникам упаковывать вредоносное ПО в дважды заархивированные файлы. Если жертва извлекала и открывала эти файлы, вредоносная нагрузка могла выполняться без возникновения каких-либо предупреждений безопасности.
Кампания SmokeLoader нацелена на украинские организации
Исследователи безопасности компании Trend Micro подтвердили, что связанные с Россией киберпреступники использовали уязвимость CVE-2025-0411 в кампании по развертыванию SmokeLoader — известного загрузчика вредоносного ПО, используемого для кибершпионажа.
Злоумышленники отправляли украинским государственным учреждениям и предприятиям вредоносные вложения в электронные письма. Эти письма отправлялись с ранее скомпрометированных украинских аккаунтов, в том числе из Государственной исполнительной службы Украины (ГИС), подразделения Министерства юстиции Украины.
Чтобы сделать атаку более обманчивой, хакеры использовали атаку гомоглифов — технику, которая заменяет определенные символы визуально похожими альтернативами. В этом случае была заменена кириллическая буква «Es», чтобы внутренний архив выглядел как документ Word (.doc). Это обманом заставило получателей открыть файл, неосознанно выполнив эксплойт.
Кто был целью?
Расследование Trend Micro выявило несколько украинских организаций, подвергшихся этой атаке, в том числе:
- ГИС (Государственная исполнительная служба Украины)
- ПрАО «ЗАЗ» (Запорожский автомобильный завод)
- Киевпастранс (общественный транспорт Киева)
- Киевводоканал (Киевская служба водоснабжения)
- SEA (производитель электроники)
- Верховинская районная государственная администрация
- VUSA (страховая компания)
- Днепровская областная аптека
- Залещицкий городской совет
Исследователи полагают, что этот список не является исчерпывающим, и что целью могло стать гораздо больше организаций. Злоумышленники сосредоточились на небольших государственных органах, которые часто имеют более слабую защиту кибербезопасности. Эти скомпрометированные организации затем могли использоваться в качестве трамплинов для проникновения в более крупные правительственные сети.
Защитные меры и исправление
Организации, использующие 7-Zip, должны немедленно обновиться до версии 24.09 для исправления CVE-2025-0411. Кроме того, пользователи должны проявлять осторожность при открытии архивных файлов из электронных писем, особенно из неизвестных или неожиданных источников.
Украина остается главной целью для российских кибератак, а использование уязвимостей программного обеспечения остается ключевой тактикой в кибервойне. Поскольку злоумышленники продолжают совершенствовать свои методы, бдительность и быстрое исправление имеют решающее значение для смягчения будущих угроз.
