محققان امنیتی Trend ZDI از کشف یک آسیب‌پذیری صفرروزه در ۷-Zip با نام CVE-2025-0411 خبر داده‌اند که به‌طور فعال توسط گروه‌های سایبری روسی برای حملات جاسوسی سایبری علیه سازمان‌های اوکراینی مورد سوءاستفاده قرار گرفته است.

🔹 CVE-2025-0411 به مهاجمان اجازه می‌دهد تا از مکانیزم Mark-of-the-Web (MoTW) ویندوز عبور کرده و فایل‌های مخرب را بدون بررسی‌های امنیتی اجرا کنند.
🔹 این حمله از طریق فیشینگ هدفمند (Spear Phishing) و حملات هموگلیف برای جعل فرمت فایل‌ها و فریب کاربران انجام شده است.
🔹 بدافزار SmokeLoader به عنوان بخش اصلی این کمپین استفاده شده و سازمان‌های دولتی و تجاری اوکراین را هدف قرار داده است.

📌 نحوه بهره‌برداری از آسیب‌پذیری CVE-2025-0411

Windows MoTW هنگام دانلود فایل‌ها از منابع ناشناس، یک پرچم امنیتی به نام Zone.Identifier به آن‌ها اضافه می‌کند تا از اجرای خودکار کدهای مخرب جلوگیری شود.
این آسیب‌پذیری به مهاجمان امکان می‌دهد با استفاده از آرشیوهای تو در تو در ۷-Zip (Double Archiving)، مکانیزم MoTW را دور بزنند.
با این روش، ویندوز دیگر فایل مخرب را به عنوان یک فایل خارجی تشخیص نمی‌دهد و از اجرای بررسی‌های امنیتی Microsoft Defender SmartScreen خودداری می‌کند.

📌 نمونه‌ای از حمله:

  • یک فایل ZIP تو در تو حاوی اسکریپت مخرب .bat بدون برچسب MoTW ایجاد می‌شود.
  • کاربر فایل را اجرا می‌کند و بدون هشدار امنیتی، کد مخرب اجرا شده و سیستم آلوده می‌شود.

🛑 حملات هموگلیف و فیشینگ هدفمند علیه سازمان‌های اوکراینی

📌 حملات فیشینگ از طریق ایمیل‌هایی که از حساب‌های دولتی اوکراین هک شده بودند ارسال شده است.
📌 مهاجمان از تکنیک هموگلیف برای تغییر پسوند فایل‌های مخرب استفاده کردند.
📌 فایل ZIP حاوی یک فایل جعلی با پسوند .doc بود که در واقع یک آرشیو مخرب حاوی اسکریپت‌های اجرایی بود.

📌 مثال حمله:

  • یک فایل به نام Документи та платежи.7z (اسناد و پرداخت‌ها) شامل یک فایل داخلی Спiсок.doс بود.
  • در این نام، حرف “c” در .doc در واقع از الفبای سیریلیک بوده و یک حرف متفاوت از لاتین است.
  • این روش باعث می‌شود که کاربر تصور کند فایل یک سند Word است، در حالی که یک فایل اجرایی مخرب است.

🚨 سازمان‌های اوکراینی هدف حمله

📌 بر اساس یافته‌های محققان، سازمان‌های زیر مورد هدف قرار گرفته‌اند:

  • State Executive Service of Ukraine (SES) – وزارت دادگستری اوکراین
  • Zaporizhzhia Automobile Building Plant (PrJSC ZAZ) – کارخانه تولید خودروهای سنگین
  • Kyivpastrans – خدمات حمل‌ونقل عمومی کی‌یف
  • Verkhovyna District State Administration – نهاد دولتی منطقه ایوانو-فرانکیفسک
  • VUSA – شرکت بیمه
  • Dnipro City Regional Pharmacy – داروخانه منطقه‌ای دنیپرو

📌 تحلیلگران امنیتی اشاره کرده‌اند که سازمان‌های کوچک دولتی، به دلیل کمبود منابع امنیتی، در برابر این حملات آسیب‌پذیرتر هستند.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

134

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *