Ryska hackare utnyttjar 7-Zip Zero-Day för att rikta sig mot Ukraina
Ryska hotaktörer har ertappats med att utnyttja en nolldagarssårbarhet i 7-Zip och använda den för att infiltrera ukrainska regeringsenheter. Felet, spårat som CVE-2025-0411, gjorde det möjligt för angripare att kringgå Windows Mark-of-the-Web (MoTW)-skydd, vilket hjälpte dem att leverera skadliga nyttolaster oupptäckta.
Table of Contents
7-Zip Zero-Day och dess utnyttjande
Sårbarheten, som fick CVSS-poängen 7.0, upptäcktes först i september 2024 och förblev oparpad fram till november 2024, då 7-Zip version 24.09 släpptes. Det härrörde från ett fel i hur 7-Zip hanterade MoTW-utbredning.
MoTW är en Windows-säkerhetsmekanism utformad för att varna användare om filer som laddas ner från otillförlitliga källor. Men 7-Zip misslyckades med att utöka MoTW-skydden till filer som extraherats från ett arkiv, vilket gör det möjligt för angripare att paketera skadlig programvara i dubbelarkiverade filer. Om ett offer extraherade och öppnade dessa filer, kunde den skadliga nyttolasten köras utan att utlösa några säkerhetsvarningar.
SmokeLoader-kampanj riktar sig till ukrainska enheter
Säkerhetsforskare på Trend Micro bekräftade att rysk-justerade cyberkriminella utnyttjade CVE-2025-0411 i en kampanj som implementerade SmokeLoader, en välkänd skadlig programvara som används för cyberspionage.
Angriparna skickade e-postbilagor som innehöll skadliga arkiv till ukrainska myndigheter och företag. Dessa e-postmeddelanden härrörde från tidigare komprometterade ukrainska konton, inklusive de från State Executive Service of Ukraine (SES), en filial till det ukrainska justitieministeriet.
För att göra attacken mer vilseledande använde hackare en homoglyfattack – en teknik som ersätter vissa karaktärer med visuellt liknande alternativ. I det här fallet ersattes den kyrilliska bokstaven "Es" för att få det inre arkivet att visas som ett Word-dokument (.doc). Detta lurade mottagarna att öppna filen och omedvetet körde exploateringen.
Vem var inriktad?
Trend Micros undersökning identifierade flera ukrainska organisationer som var föremål för denna attack, inklusive:
- SES (State Executive Service of Ukraine)
- PrJSC ZAZ (Zaporizhzhia bilfabrik)
- Kyivpastrans (Kyivs kollektivtrafik)
- Kyivvodokanal (Kyivs vattenförsörjningstjänst)
- SEA (elektroniktillverkare)
- Verkhovyna distriktets statliga administration
- VUSA (försäkringsbolag)
- Dnipro regionala apotek
- Zalishchyky kommunfullmäktige
Forskare tror att den här listan inte är uttömmande och att många fler organisationer kan ha varit inriktade på. Angriparna fokuserade på mindre statliga organ, som ofta har svagare cybersäkerhetsförsvar. Dessa komprometterade enheter kan sedan användas som språngbrädor för att infiltrera större statliga nätverk.
Defensiva åtgärder och lappning
Organisationer som använder 7-Zip bör omedelbart uppdatera till version 24.09 för att patcha CVE-2025-0411. Dessutom bör användare vara försiktiga när de öppnar arkiverade filer från e-postmeddelanden, särskilt de från okända eller oväntade källor.
Ukraina är fortfarande ett främsta mål för ryska cyberattacker, och att utnyttja sårbarheter i mjukvara är fortfarande en nyckeltaktik i cyberkrigföring. När angripare fortsätter att förfina sina tekniker är vaksamhet och snabb patchning avgörande för att mildra framtida hot.
