Nedavno ispravljena sigurnosna ranjivost u alatu za arhiviranje 7-Zip iskorištena je u prirodi za distribuciju malware-a SmokeLoader.
Ranjivost, CVE-2025-0411 (CVSS ocjena: 7.0), omogućava udaljenim napadačima da zaobiđu marku sa interneta (MotW) i izvrše proizvoljni kod u kontekstu trenutnog korisnika. Ranjivost je ispravljena od strane 7-Zip-a u novembru 2024. godine sa verzijom 24.09.
„Ranjivost je aktivno iskorištena od strane ruskih cyber kriminalnih grupa kroz spear-phishing kampanje, koristeći homoglif napade kako bi lažirali ekstenzije dokumenata i prevarili korisnike i Windows operativni sistem da izvrše zlonamjerne fajlove“, rekao je istraživač sigurnosti iz Trend Micro-a, Peter Girnus. Sumnja se da je CVE-2025-0411 verovatno iskorišćen kako bi se ciljali vladini i nevladini subjekti u Ukrajini kao deo cyber špijunske kampanje u kontekstu trenutnog rusko-ukrajinskog sukoba.
MotW je sigurnosna funkcija koju je Microsoft implementirao u Windows kako bi sprečio automatsko izvršavanje fajlova preuzetih sa interneta bez daljih provera putem Microsoft Defender SmartScreen-a.
CVE-2025-0411 zaobilazi MotW tako što dvostruko arhivira sadržaj koristeći 7-Zip, tj. kreira arhivu, a zatim arhivu unutar arhive kako bi sakrio zlonamjerne sadržaje.
„Osnovni uzrok CVE-2025-0411 je taj što 7-Zip pre verzije 24.09 nije ispravno prenosio MotW zaštitu na sadržaj dvostruko enkapsuliranih arhiva“, objasnio je Girnus. „Ovo omogućava napadačima da kreiraju arhive koje sadrže zlonamjerne skripte ili izvršne fajlove koji neće primiti MotW zaštitu, ostavljajući korisnike Windows-a ranjivima na napade.“
Napadi koji koriste ovu ranjivost kao zero-day prvi put su detektovani u prirodi 25. septembra 2024. godine, a infekcijski nizovi dovode do SmokeLoader-a, loader malware-a koji je višestruko korišten za ciljanje Ukrajine.
Početna tačka je phishing email koji sadrži posebno izrađeni arhivski fajl koji, zauzvrat, koristi homoglif napad kako bi lažirao unutrašnju ZIP arhivu kao Microsoft Word dokument, čime se efikasno aktivira ranjivost.
Prema Trend Micro-u, phishing poruke su poslate sa email adresa povezanih sa ukrajinskim vladinim telima i poslovnim računima, kako za gradske organizacije, tako i za preduzeća, što sugeriše prethodnu kompromitaciju.
„Korišćenje ovih kompromitovanih email naloga daje autentičnost emailovima poslanim ciljevima, manipulišući potencijalnim žrtvama da veruju u sadržaj i pošiljaoce“, istakao je Girnus.
Ovaj pristup dovodi do izvršenja internetske prečice (.URL) fajla prisutnog unutar ZIP arhive, koji pokazuje na server pod kontrolom napadača, koji hostuje još jedan ZIP fajl. Novodownloadovana ZIP arhiva sadrži SmokeLoader izvršni fajl koji je maskiran kao PDF dokument.
Procjenjuje se da je najmanje devet ukrajinskih vladinih entiteta i drugih organizacija pogođeno ovom kampanjom, uključujući Ministarstvo pravde, Javni prevoz Kijeva, Kijevsko vodosnabdijevanje i Gradski savjet. S obzirom na aktivnu eksploataciju CVE-2025-0411, korisnicima se preporučuje da ažuriraju svoje instalacije na najnoviju verziju, implementiraju filtriranje emailova kako bi blokirali pokušaje phishing-a i onemoguće izvršavanje fajlova sa nepouzdanih izvora.
„Jedna zanimljiva stvar koju smo primetili u organizacijama koje su bile ciljani i pogođeni ovom kampanjom su manji lokalni vladini organi“, rekao je Girnus.
„Ove organizacije su često pod velikim cyber pritiskom, ali često su zanemarene, manje su cyber-sposobne i nemaju resurse za sveobuhvatnu cyber strategiju koju imaju veće vladine organizacije. Ove manje organizacije mogu biti vredne tačke za prebacivanje od strane napadača na veće vladine organizacije.“