俄羅斯駭客利用 7-Zip 零日漏洞攻擊烏克蘭

俄羅斯威脅行為者被發現利用 7-Zip 的零日漏洞，入侵烏克蘭政府實體。該漏洞的編號為 CVE-2025-0411，它允許攻擊者繞過 Windows 的 Mark-of-the-Web (MoTW) 保護，幫助他們在不被發現的情況下投放惡意負載。

7-Zip 零日漏洞及其利用

該漏洞的 CVSS 評分為 7.0，於 2024 年 9 月首次發現，直到 2024 年 11 月 7-Zip 版本 24.09 發布後才修補。這是由於 7-Zip 處理 MoTW 傳播方式的一個缺陷所造成的。

MoTW 是一種 Windows 安全機制，旨在警告使用者從不受信任的來源下載的檔案。然而，7-Zip 未能將 MoTW 保護擴展到從存檔中提取的文件，從而允許攻擊者將惡意軟體打包在雙存檔檔案中。如果受害者提取並開啟這些文件，惡意負載就可以執行而不會觸發任何安全警告。

SmokeLoader 攻擊活動針對烏克蘭實體

趨勢科技的安全研究人員證實，與俄羅斯結盟的網路犯罪分子在部署 SmokeLoader（一種用於網路間諜活動的著名惡意軟體載入器）的活動中利用了 CVE-2025-0411。

攻擊者向烏克蘭政府機構和企業發送了包含惡意檔案的陷阱電子郵件附件。這些電子郵件來自先前被盜用的烏克蘭帳戶，其中包括烏克蘭司法部下屬機構烏克蘭國家行政局 (SES) 的帳戶。

為了使攻擊更具欺騙性，駭客使用了同形文字攻擊——一種用視覺上相似的字元替換某些字元的技術。在這種情況下，西里爾字母「Es」被替換，使內部檔案顯示為 Word 文件 (.doc)。這會誘騙收件人打開文件，並在不知情的情況下執行漏洞攻擊。

誰成了攻擊目標？

趨勢科技的調查發現，這次攻擊針對了多個烏克蘭組織，包括：

• 烏克蘭國家行政局 (SES)
• PrJSC ZAZ（扎波羅熱汽車廠）
• Kyivpastrans（基輔公共交通服務）
• Kyivvodokanal（基輔供水服務）
• SEA（電子產品製造商）
• 韋爾霍維納區國家行政機構
• VUSA（保險公司）
• 德尼普羅地區藥局
• 扎利希奇基市議會

研究人員認為，這份名單並不詳盡，可能還有更多的組織成為目標。攻擊者將目標鎖定在較小的政府機構，因為這些機構的網路安全防禦通常較弱。這些受到攻擊的實體隨後可能被用作滲透更大規模政府網路的墊腳石。

防禦措施和修補

使用 7-Zip 的組織應立即更新至 24.09 版本以修補 CVE-2025-0411。此外，使用者在開啟電子郵件中的存檔檔案時應保持謹慎，尤其是來自未知或意外來源的文件。

烏克蘭仍然是俄羅斯網路攻擊的主要目標，利用軟體漏洞仍然是網路戰的關鍵策略。隨著攻擊者不斷改進其技術，保持警惕和快速修補對於減輕未來的威脅至關重要。