Een recent gepatchte beveiligingskwetsbaarheid in de 7-Zip Archiver-tool werd in het wild benut om de Smokeloader-malware te leveren.
De fout, CVE-2025-0411 (CVSS-score: 7.0), stelt externe aanvallers in staat om mark-of-the-WEB (MOTW) bescherming te omzeilen en willekeurige code uit te voeren in de context van de huidige gebruiker. Het werd in november 2024 aangepakt door 7-Zip met versie 24.09.
“De kwetsbaarheid werd actief geëxploiteerd door Russische cybercriminaliteitsgroepen door middel van speer-phishing-campagnes, met behulp van homoglyph-aanvallen om documentuitbreidingen en trucgebruikers en het Windows-besturingssysteem te gebruiken om kwaadaardige bestanden uit te voeren,” zei Trend Micro Security-onderzoeker Peter Girnus.
Er wordt vermoed dat CVE-2025-0411 waarschijnlijk is bewapend om zich te richten op overheids- en niet-gouvernementele organisaties in Oekraïne als onderdeel van een cyberspionagecampagne tegen de achtergrond van het lopende Russo-Oekrainische conflict.
MOTW is een beveiligingsfunctie geïmplementeerd door Microsoft in Windows om te voorkomen dat de automatische uitvoering van bestanden van internet wordt gedownload zonder verdere controles uit te voeren via Microsoft Defender SmartScreen.
CVE-2025-0411 omzeilt MOTW door dubbele archiveringsinhoud met behulp van 7-Zip, dwz het creëren van een archief en vervolgens een archief van het archief om de kwaadaardige ladingen te verbergen.
“De hoofdoorzaak van CVE-2025-0411 is dat voorafgaand aan versie 24.09 7-ZIP MOTW-bescherming niet correct propageerde tegen de inhoud van dubbel ingekapselde archieven,” legde Girnus uit. “Dit stelt bedreigingsacteurs in staat om archieven met kwaadaardige scripts of uitvoerbare bestanden te maken die geen MOTW -bescherming zullen ontvangen, waardoor Windows -gebruikers kwetsbaar blijven voor aanvallen.”
Aanvallen met behulp van de fout als een nul-dag werden voor het eerst gedetecteerd in het wild op 25 september 2024, met de infectiescènes die leiden tot Smokeloader, een lader-malware die herhaaldelijk is gebruikt om Oekraïne te richten.
Het uitgangspunt is een phishing-e-mail die een speciaal vervaardigd archiefbestand bevat dat op zijn beurt een homoglyph-aanval gebruikt om het binnenste zip-archief door te geven als een Microsoft Word-documentbestand, waardoor de kwetsbaarheid effectief wordt geactiveerd.
De phishing -berichten, per trend micro, werden verzonden vanuit e -mailadressen die verband houden met de Oekraïense bestuursorganen en zakelijke accounts naar zowel gemeentelijke organisaties als bedrijven, wat suggereert dat eerder compromis.
“Het gebruik van deze gecompromitteerde e -mailaccounts geeft een sfeer van authenticiteit aan de e -mails die naar doelen zijn verzonden, waardoor potentiële slachtoffers worden gemanipuleerd om de inhoud en hun afzenders te vertrouwen,” merkte Girnus op.
Deze aanpak leidt tot de uitvoering van een internet-snelkoppeling (.url) -bestand dat aanwezig is in het ZIP-archief, dat wijst op een door aanvallers gecontroleerde server die een ander zip-bestand host. De nieuw gedownloade zip bevat het uitvoerbare bestand van Smokeloader dat vermomd is als een PDF -document.
Ten minste negen Oekraïense overheidsentiteiten en andere organisaties zijn beoordeeld als getroffen door de campagne, waaronder het ministerie van Justitie, Kyiv Public Transportation Service, Kiev Water Supply Company en de gemeenteraad.
In het licht van de actieve exploitatie van CVE-2025-0411 worden gebruikers aanbevolen om hun installaties bij te werken naar de nieuwste versie, e-mailfilterfuncties te implementeren om phishing-pogingen te blokkeren en de uitvoering van bestanden uit niet-toegewezen bronnen uit te schakelen.
“Een interessante afhaalmaaltijd die we in de organisaties hebben opgemerkt die in deze campagne zijn gericht en getroffen, zijn kleinere lokale overheidsinstanties,” zei Girnus.
“Deze organisaties staan vaak onder intense cyberdruk, maar worden vaak over het hoofd gezien, minder cyber-savvy, en missen de middelen voor een uitgebreide cyberstrategie die grotere overheidsorganisaties hebben. Deze kleinere organisaties kunnen waardevolle draaipunten zijn door bedreigingsactoren om te draaien naar een grotere overheid organisaties. “
