HackerNews 编译,转载请注明出处:
据Trend Micro安全研究员Peter Girnus称,7-Zip归档工具中的一个最近修补的安全漏洞(CVE-2025-0411,CVSS评分为7.0)被野外利用来传递SmokeLoader恶意软件。该漏洞允许远程攻击者绕过网络标记(MotW)保护,并以当前用户的身份执行任意代码。7-Zip在2024年11月发布的24.09版本中解决了这个问题。
“俄罗斯网络犯罪集团通过鱼叉式网络钓鱼活动积极利用该漏洞,使用同形异义攻击来伪造文档扩展名,欺骗用户和Windows操作系统执行恶意文件。”Girnus说。
据怀疑,CVE-2025-0411可能被武器化,用于针对乌克兰的政府和非政府组织,作为俄乌冲突背景下的网络间谍活动的一部分。
MotW是微软在Windows中实现的一项安全功能,旨在防止从互联网下载的文件在未通过Microsoft Defender SmartScreen进一步检查的情况下自动执行。
CVE-2025-0411通过使用7-Zip进行双重归档来绕过MotW,即创建一个归档文件,然后再创建一个该归档文件的归档文件,以隐藏恶意负载。
“CVE-2025-0411的根本原因是,在24.09版本之前,7-Zip没有正确地将MotW保护传播到双重封装的归档内容,”Girnus解释说。“这允许威胁行为者创建包含恶意脚本或可执行文件的归档文件,这些文件不会受到MotW保护,使Windows用户容易受到攻击。”
利用该漏洞的零日攻击最早在2024年9月25日被检测到,感染序列导致了SmokeLoader,这是一种多次用于针对乌克兰的加载器恶意软件。
起点是一封包含特制归档文件的网络钓鱼电子邮件,该文件使用同形异义攻击将内部ZIP归档文件伪装成Microsoft Word文档文件,从而触发漏洞。
据Trend Micro称,这些网络钓鱼邮件是从与乌克兰政府机构和商业账户相关的电子邮件地址发送的,目标是市政组织和企业,这表明这些账户之前已被攻陷。
“这些被攻陷的电子邮件账户为发送给目标的邮件增添了真实性,操纵潜在受害者信任内容及其发件人,”Girnus指出。
这种方法导致执行ZIP归档文件中的互联网快捷方式(.URL)文件,该文件指向攻击者控制的服务器,该服务器托管了另一个ZIP文件。新下载的ZIP文件包含伪装成PDF文档的SmokeLoader可执行文件。
至少有九个乌克兰政府实体和其他组织被评估为受到该活动的影响,包括司法部、基辅公共交通服务、基辅供水公司和市议会。
鉴于CVE-2025-0411正在被积极利用,建议用户更新到最新版本,实施电子邮件过滤功能以阻止网络钓鱼尝试,并禁用来自不受信任来源的文件执行。
“我们在此次活动中针对和受影响的组织中注意到一个有趣的收获是小型地方政府机构,”Girnus说。“这些组织通常面临巨大的网络压力,但往往被忽视,缺乏大型政府机构的网络安全意识和资源。这些较小的组织可以成为威胁行为者转向较大政府机构的有价值支点。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
