Руски групи за заплахи са провеждали кампании за кибершпионаж срещу правителствени организации в Украйна, използвайки уязвимост от типа „нулев ден“ в архивиращия инструмент 7-Zip, съобщава Trend Micro.

Проследен като CVE-2025-0411 (CVSS оценка 7,0), експлоатираният недостатък е открит през септември 2024 г. и е поправен два месеца по-късно във версия 24.09 на 7-Zip.

Грешката се описва като заобикаляне на механизма за защита Mark-of-the-Web (MoTW), който е въведен в Windows за маркиране на файлове, изтеглени от ненадеждни източници, за да се предотврати автоматичното им изпълнение и да се предупредят потребителите за потенциални рискове.

Поддръжката на MoTW е въведена в 7-Zip през юни 2022 г., но инструментът не разпространява MoTW към файловете, извлечени от архива. Това позволяваше на нападателите да архивират двойно злонамерени файлове, които щяха да заобиколят механизма за защита, ако потребителят можеше да бъде убеден да извлече файловете и да ги отвори.

„Атакуващият може да се възползва от тази уязвимост, за да изпълни произволен код в контекста на текущия потребител“, се казва в съобщението на Zero Day Initiative.

Сега Trend Micro разкрива, че CVE-2025-0411 е била използвана в дивата природа, в кампания на SmokeLoader, насочена към украински правителствени структури и други организации в страната, вероятно с цел кибершпионаж.

Като част от атаките, за които се смята, че са организирани от неназовани руски киберпрестъпни групи, компрометирани имейл акаунти са били използвани за изпращане на изработени архиви, експлоатиращи дефекта от нулев ден, като е използвана техника за хомоглифна атака.

Trend Micro идентифицира имейли, произхождащи от компрометирани акаунти на украински управляващи органи и предприятия, като например Държавната изпълнителна служба на Украйна (ДИК), която е част от украинското министерство на правосъдието. Някои от акаунтите вероятно са били компрометирани при предишни кампании.

Фирмата за киберсигурност също така откри, че един от вътрешните архиви, използвани в кампанията, разчита на хомоглифна атака за подправяне на Word файл (.doc) и подвеждане на набелязаната жертва да отвори архива и да изпълни зловредните файлове в него.

„Използвайки кирилския символ „С“, нападателите са създали вътрешен архив, имитиращ файл .doc. Тази стратегия ефективно заблуждава потребителите да задействат по невнимание експлойта за CVE-2025-0411, в резултат на което съдържанието на архива се освобождава без MoTW защита“, обяснява Trend Micro.

Сред украинските структури, към които е насочена тази кампания, вероятно са SES, Запорожкият автомобилостроителен завод (PrJSC ZAZ), Kyivpastrans и Kyivvodokanal (службите за обществен транспорт и водоснабдяване на Киев), SEA (производител на електрическо и електронно оборудване и уреди), държавната администрация на Верховински район, VUSA (застрахователна организация), областната аптека на град Днепър и градският съвет на Залишчик.

„Имайте предвид, че тази компилация от организации, засегнати от атаката с нулев ден CVE-2024-0411, не е изчерпателна; съществува значителна вероятност извършителите да са засегнали или да са се насочили към допълнителни организации“, отбелязва Trend Micro.

Нападателите са се фокусирали върху по-малките органи на местната власт, вероятно защото те често не разполагат с необходимите ресурси и знания, за да останат защитени, и защото след това могат да бъдат използвани като отправни точки към по-големи правителствени организации, казва фирмата за киберсигурност.