俄罗斯黑客利用 7-Zip 零日漏洞攻击乌克兰
俄罗斯威胁行为者被发现利用 7-Zip 中的零日漏洞,并利用该漏洞渗透乌克兰政府实体。该漏洞被追踪为 CVE-2025-0411,允许攻击者绕过 Windows 的 Mark-of-the-Web (MoTW) 保护,帮助他们在不被发现的情况下传播恶意负载。
Table of Contents
7-Zip 零日漏洞及其利用
该漏洞的 CVSS 评分为 7.0,于 2024 年 9 月首次发现,直到 2024 年 11 月 7-Zip 版本 24.09 发布后才得到修补。该漏洞源于 7-Zip 处理 MoTW 传播方式的一个缺陷。
MoTW 是一种 Windows 安全机制,旨在警告用户从不受信任的来源下载的文件。然而,7-Zip 未能将 MoTW 保护扩展到从存档中提取的文件,这允许攻击者将恶意软件打包在双存档文件中。如果受害者提取并打开这些文件,恶意负载就可以执行而不会触发任何安全警告。
SmokeLoader 攻击活动针对乌克兰实体
趋势科技的安全研究人员证实,与俄罗斯结盟的网络犯罪分子在部署 SmokeLoader(一种用于网络间谍活动的著名恶意软件加载器)的活动中利用了 CVE-2025-0411。
攻击者向乌克兰政府机构和企业发送了包含恶意档案的陷阱电子邮件附件。这些电子邮件来自之前被入侵的乌克兰账户,包括乌克兰司法部下属机构乌克兰国家行政局 (SES) 的账户。
为了使攻击更具欺骗性,黑客使用了同形文字攻击,即用视觉上相似的替代字符替换某些字符的技术。在这种情况下,西里尔字母“Es”被替换,使内部存档显示为 Word 文档 (.doc)。这诱使收件人打开文件,在不知情的情况下执行漏洞利用。
谁成了攻击目标?
趋势科技的调查发现,此次攻击针对了多个乌克兰组织,其中包括:
- 乌克兰国家行政局 (SES)
- PrJSC ZAZ(扎波罗热汽车厂)
- Kyivpastrans(基辅公共交通服务)
- Kyivvodokanal(基辅供水服务)
- SEA(电子产品制造商)
- 韦尔霍维纳区国家行政机构
- VUSA(保险公司)
- 德尼普罗地区药店
- 扎利希奇基市议会
研究人员认为,这份名单并不详尽,可能还有更多组织成为攻击目标。攻击者将目标锁定在较小的政府机构,这些机构的网络安全防御通常较弱。这些受感染的实体随后可能被用作入侵较大政府网络的垫脚石。
防御措施和修补
使用 7-Zip 的组织应立即更新至版本 24.09 以修补 CVE-2025-0411。此外,用户在打开电子邮件中的存档文件时应保持谨慎,尤其是来自未知或意外来源的文件。
乌克兰仍是俄罗斯网络攻击的主要目标,利用软件漏洞仍是网络战的主要手段。随着攻击者不断改进技术,保持警惕和快速修补对于缓解未来威胁至关重要。
