Zero-day kampány és homoglifa ukrán szervezetek ellen
2024. szeptember 25-én a Trend Micro Zero Day Initiative (ZDI) Threat Hunting csapata azonosított egy zero-day sérülékenységet, amelyet aktívan kihasználnak, és amely a SmokeLoader nevű loader kártevő telepítéséhez kapcsolódik. Ezt a sérülékenységet vélhetően orosz kiberszereplők használják ki ukrán kormányzati és nem kormányzati szervezetek ellen. A kibertevékenység célja nagy valószínűséggel kiberkémkedés a folyamatban lévő orosz-ukrán konfliktus részeként. A kihasználás során kompromittált e-mail fiókokat és a 7-Zip archiváló eszközben létező sérülékenységet (CVE-2025-0411) használtak, amelyet homoglifa támadásokon keresztül manipuláltak.
A homoglifa támadás egy olyan támadásfajta, amely tipográfiai manipulációt alkalmaz hasonló kinézetű karakterek felhasználásával, hogy az áldozatokat gyanús fájlokra való kattintásra vagy rosszindulatú webhelyek meglátogatására késztesse. Ezeket a támadásokat általában adathalász kampányok részeként használják, amely során a kiberszereplők homoglifákat használhatnak legitim webhelyek meghamisítására, hogy rávegyék a felhasználókat például hitelesítő adatok megadására. Ezeket a hitelesítő adatokat aztán a szervezet kompromittálására használnák fel. Egy támadó például a cirill betűs Es betűt (amely pontosan úgy néz ki, mint a latin С vagy с betű) használhatja egy domain névben, mint például api-miсrosoft[.]com, ahol a „c” itt az „Es” karakter a latin helyett, hogy becsapja a felhasználókat, hogy megbízzanak ebben a domainben.
A kezdeti elemzést és egy proof-of-concept (PoC) kidolgozását követően a Trend Micro 2024. október 1-jén hivatalosan is bejelentette a sérülékenységet Igor Pavlovnak, a 7-Zip készítőjének. A hibát ezt követően orvosoljavítottákk, és a 7-Zip 2024. november 30-án a 24.09-es verzió részeként kiadták a javítást.
CVE-2025-0411: 7-Zip Mark-of-the-Web megkerülési sérülékenység
Amikor egy felhasználó nem megbízható forrásból, például az internetről tölt le egy fájlt, a Microsoft Windows egy Mark-of-the-Web (MoTW) néven ismert biztonsági funkciót alkalmaz. Ez a funkció a fájl helyi másolatát a Zone.Identifier nevű NTFS Alternatív adatfolyam (ADS) hozzáadásával jelöli. Ebbe az adatfolyamba a ZoneId=3 szöveg van beágyazva, ami azt jelzi, hogy a fájl egy nem megbízható zónából, konkrétan az internetről származik. Ez biztosítja, hogy a nem megbízható fájlok nem kerülnek véletlenül végrehajtásra, és lehetővé teszi a Windows operációs rendszer számára, hogy a Microsoft Defender SmartScreen segítségével további biztonsági ellenőrzéseket hajtson végre. A CVE-2025-0411 lehetővé teszi a kiberszereplők számára a Windows MoTW védelmének megkerülését a tartalmak 7-Zip-el való dupla archiválásával.
A CVE-2025-0411 hibát az okozza, hogy a 24.09-es verzió előtt a 7-Zip nem alkalmazta megfelelően a MoTW-védelmet a dupla archívumok tartalmára. Ez lehetővé teszi a kiberszereplők számára, hogy rosszindulatú szkripteket vagy futtatható fájlokat tartalmazó archívumokat készítsenek, amelyekre nem terjed ki a MoTW-védelem.
A támadások során a SmokeLoader nevű kártékony programot használták a támadók, amely a rendszeren való elsődleges bejutás után további rosszindulatú programokat telepített, például a TrickBotot, amely a pénzügyi adatok ellopására és más további kártékony műveletek végrehajtására szolgált. A támadók a sérülékeny 7-Zip verziókat kihasználva elkerülték a védelmi mechanizmusokat és megbízhatóan szivárogtatták be a kártékony kódokat.
A támadás figyelmeztet arra is, hogy az tömörítő szoftverek, mint a 7-Zip, potenciális célponttá válhatnak, mivel gyakran nagy mennyiségű adatot kezelnek, és kevésbé vannak biztonságosan védve, mint más alkalmazások. A Trend Micro arra ösztönöz, hogy a felhasználók minden olyan programot frissítsenek, amely érzékeny adatokat kezel, és ügyeljenek arra, hogy csak megbízható forrásokból származó fájlokat nyissanak meg.
