محققان امنیتی Trend ZDI از کشف یک آسیبپذیری صفرروزه در ۷-Zip با نام CVE-2025-0411 خبر دادهاند که بهطور فعال توسط گروههای سایبری روسی برای حملات جاسوسی سایبری علیه سازمانهای اوکراینی مورد سوءاستفاده قرار گرفته است.
🔹 CVE-2025-0411 به مهاجمان اجازه میدهد تا از مکانیزم Mark-of-the-Web (MoTW) ویندوز عبور کرده و فایلهای مخرب را بدون بررسیهای امنیتی اجرا کنند.
🔹 این حمله از طریق فیشینگ هدفمند (Spear Phishing) و حملات هموگلیف برای جعل فرمت فایلها و فریب کاربران انجام شده است.
🔹 بدافزار SmokeLoader به عنوان بخش اصلی این کمپین استفاده شده و سازمانهای دولتی و تجاری اوکراین را هدف قرار داده است.
📌 نحوه بهرهبرداری از آسیبپذیری CVE-2025-0411
✅ Windows MoTW هنگام دانلود فایلها از منابع ناشناس، یک پرچم امنیتی به نام Zone.Identifier به آنها اضافه میکند تا از اجرای خودکار کدهای مخرب جلوگیری شود.
✅ این آسیبپذیری به مهاجمان امکان میدهد با استفاده از آرشیوهای تو در تو در ۷-Zip (Double Archiving)، مکانیزم MoTW را دور بزنند.
✅ با این روش، ویندوز دیگر فایل مخرب را به عنوان یک فایل خارجی تشخیص نمیدهد و از اجرای بررسیهای امنیتی Microsoft Defender SmartScreen خودداری میکند.
📌 نمونهای از حمله:
- یک فایل ZIP تو در تو حاوی اسکریپت مخرب
.bat
بدون برچسب MoTW ایجاد میشود. - کاربر فایل را اجرا میکند و بدون هشدار امنیتی، کد مخرب اجرا شده و سیستم آلوده میشود.
🛑 حملات هموگلیف و فیشینگ هدفمند علیه سازمانهای اوکراینی
📌 حملات فیشینگ از طریق ایمیلهایی که از حسابهای دولتی اوکراین هک شده بودند ارسال شده است.
📌 مهاجمان از تکنیک هموگلیف برای تغییر پسوند فایلهای مخرب استفاده کردند.
📌 فایل ZIP حاوی یک فایل جعلی با پسوند .doc
بود که در واقع یک آرشیو مخرب حاوی اسکریپتهای اجرایی بود.
📌 مثال حمله:
- یک فایل به نام
Документи та платежи.7z
(اسناد و پرداختها) شامل یک فایل داخلیСпiсок.doс
بود. - در این نام، حرف “c” در
.doc
در واقع از الفبای سیریلیک بوده و یک حرف متفاوت از لاتین است. - این روش باعث میشود که کاربر تصور کند فایل یک سند Word است، در حالی که یک فایل اجرایی مخرب است.
🚨 سازمانهای اوکراینی هدف حمله
📌 بر اساس یافتههای محققان، سازمانهای زیر مورد هدف قرار گرفتهاند:
- State Executive Service of Ukraine (SES) – وزارت دادگستری اوکراین
- Zaporizhzhia Automobile Building Plant (PrJSC ZAZ) – کارخانه تولید خودروهای سنگین
- Kyivpastrans – خدمات حملونقل عمومی کییف
- Verkhovyna District State Administration – نهاد دولتی منطقه ایوانو-فرانکیفسک
- VUSA – شرکت بیمه
- Dnipro City Regional Pharmacy – داروخانه منطقهای دنیپرو
📌 تحلیلگران امنیتی اشاره کردهاند که سازمانهای کوچک دولتی، به دلیل کمبود منابع امنیتی، در برابر این حملات آسیبپذیرتر هستند.
یک نظر