Руски групи за заплахи са провеждали кампании за кибершпионаж срещу правителствени организации в Украйна, използвайки уязвимост от типа „нулев ден“ в архивиращия инструмент 7-Zip, съобщава Trend Micro.
Проследен като CVE-2025-0411 (CVSS оценка 7,0), експлоатираният недостатък е открит през септември 2024 г. и е поправен два месеца по-късно във версия 24.09 на 7-Zip.
Грешката се описва като заобикаляне на механизма за защита Mark-of-the-Web (MoTW), който е въведен в Windows за маркиране на файлове, изтеглени от ненадеждни източници, за да се предотврати автоматичното им изпълнение и да се предупредят потребителите за потенциални рискове.
Поддръжката на MoTW е въведена в 7-Zip през юни 2022 г., но инструментът не разпространява MoTW към файловете, извлечени от архива. Това позволяваше на нападателите да архивират двойно злонамерени файлове, които щяха да заобиколят механизма за защита, ако потребителят можеше да бъде убеден да извлече файловете и да ги отвори.
„Атакуващият може да се възползва от тази уязвимост, за да изпълни произволен код в контекста на текущия потребител“, се казва в съобщението на Zero Day Initiative.
Сега Trend Micro разкрива, че CVE-2025-0411 е била използвана в дивата природа, в кампания на SmokeLoader, насочена към украински правителствени структури и други организации в страната, вероятно с цел кибершпионаж.
Като част от атаките, за които се смята, че са организирани от неназовани руски киберпрестъпни групи, компрометирани имейл акаунти са били използвани за изпращане на изработени архиви, експлоатиращи дефекта от нулев ден, като е използвана техника за хомоглифна атака.
Trend Micro идентифицира имейли, произхождащи от компрометирани акаунти на украински управляващи органи и предприятия, като например Държавната изпълнителна служба на Украйна (ДИК), която е част от украинското министерство на правосъдието. Някои от акаунтите вероятно са били компрометирани при предишни кампании.
Фирмата за киберсигурност също така откри, че един от вътрешните архиви, използвани в кампанията, разчита на хомоглифна атака за подправяне на Word файл (.doc) и подвеждане на набелязаната жертва да отвори архива и да изпълни зловредните файлове в него.
„Използвайки кирилския символ „С“, нападателите са създали вътрешен архив, имитиращ файл .doc. Тази стратегия ефективно заблуждава потребителите да задействат по невнимание експлойта за CVE-2025-0411, в резултат на което съдържанието на архива се освобождава без MoTW защита“, обяснява Trend Micro.
Сред украинските структури, към които е насочена тази кампания, вероятно са SES, Запорожкият автомобилостроителен завод (PrJSC ZAZ), Kyivpastrans и Kyivvodokanal (службите за обществен транспорт и водоснабдяване на Киев), SEA (производител на електрическо и електронно оборудване и уреди), държавната администрация на Верховински район, VUSA (застрахователна организация), областната аптека на град Днепър и градският съвет на Залишчик.
„Имайте предвид, че тази компилация от организации, засегнати от атаката с нулев ден CVE-2024-0411, не е изчерпателна; съществува значителна вероятност извършителите да са засегнали или да са се насочили към допълнителни организации“, отбелязва Trend Micro.
Нападателите са се фокусирали върху по-малките органи на местната власт, вероятно защото те често не разполагат с необходимите ресурси и знания, за да останат защитени, и защото след това могат да бъдат използвани като отправни точки към по-големи правителствени организации, казва фирмата за киберсигурност.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
