Smokeloader kötü amaçlı yazılımını teslim etmek için 7-Zip Archiver aracında yakın zamanda yamalı bir güvenlik açığı sömürüldü.
Kusur, CVE-2025-0411 (CVSS Puanı: 7.0), uzaktan saldırganların Web’in İşareti (MOTW) korumalarını atlatmasına ve mevcut kullanıcı bağlamında keyfi kod yürütmesine izin verir. Kasım 2024’te 7-ZIP tarafından 24.09 sürümüyle ele alındı.
Trend Micro güvenlik araştırmacısı Peter Girnus, “Güvenlik açığı, Rus siber suç grupları tarafından mızrak avı kampanyaları yoluyla aktif olarak kullanıldı, belge uzantılarını ve hile kullanıcılarını ve Windows işletim sistemini kötü amaçlı dosyalar yürütmeye yönlendirmek için homoglif saldırıları kullandı.” Dedi.
CVE-2025-0411’in, devam eden Rus-Ukrayna çatışmasının arka planına karşı belirlenen siber casusluk kampanyasının bir parçası olarak Ukrayna’daki hükümet ve sivil toplum kuruluşlarını hedeflemek için silahlandırıldığından şüpheleniliyor.
MOTW, Microsoft Defender SmartScreen aracılığıyla daha fazla kontrol yapmadan internetten indirilen dosyaların otomatik olarak yürütülmesini önlemek için Microsoft tarafından Windows’ta uygulanan bir güvenlik özelliğidir.
CVE-2025-0411, 7-ZIP kullanarak çift arşivleme içerikleri ile MOTW’yi atlar, yani kötü niyetli yükleri gizlemek için bir arşiv ve daha sonra arşivin bir arşivi oluşturur.
Girnus, “CVE-2025-0411’in temel nedeni, 24.09 sürümünden önce, 7-ZIP’nin MOTW korumalarını çift kapsüllenmiş arşivlerin içeriğine düzgün bir şekilde yaymamasıdır.” “Bu, tehdit aktörlerinin MOTW korumaları almayacak ve Windows kullanıcılarını saldırılara karşı savunmasız bırakmayacak kötü amaçlı komut dosyaları veya yürütülebilir ürünler içeren arşivler oluşturmalarına izin veriyor.”
Kusurdan sıfır gün olarak yararlanan saldırılar ilk olarak 25 Eylül 2024’te vahşi doğada tespit edildi ve enfeksiyon dizileri, Ukrayna’yı hedeflemek için tekrar tekrar kullanılan bir yükleyici kötü amaçlı yazılım olan Smokeloader’a yol açtı.
Başlangıç noktası, güvenlik açığını etkili bir şekilde tetikleyen bir Microsoft Word belge dosyası olarak iç fermuar arşivini geçmek için bir homoglif saldırısı kullanan özel hazırlanmış bir arşiv dosyası içeren bir kimlik avı e-postasıdır.
Trend Micro başına kimlik avı mesajları, Ukrayna yönetim organları ve iş hesapları ile ilişkili e -posta adreslerinden hem belediye kuruluşlarına hem de işletmelere gönderildi ve bu da önceki uzlaşmayı önerdi.
Girnus, “Bu tehlikeye atılan e -posta hesaplarının kullanımı, hedeflere gönderilen e -postalara bir özgünlük havası sağlıyor, potansiyel kurbanları içeriğe ve gönderenlerine güvenmek için manipüle ediyor.”
Bu yaklaşım, zip arşivinde bulunan ve başka bir zip dosyasını barındıran saldırgan kontrollü bir sunucuya işaret eden bir İnternet kısayolu (.url) dosyasının yürütülmesine yol açar. Yeni indirilen Zip, bir PDF belgesi olarak gizlenmiş Smokeloader yürütülebilir dosyasını içerir.
En az dokuz Ukrayna hükümet kuruluşu ve diğer kuruluşların, Adalet Bakanlığı, Kiev Toplu Taşımacılık Servisi, Kiev Water Tedarik Şirketi ve Belediye Meclisi de dahil olmak üzere kampanyadan etkilendiği değerlendirildi.
CVE-2025-0411’in aktif kullanımı ışığında, kullanıcıların kurulumlarını en son sürüme güncellemeleri, kimlik avı denemelerini engellemek için e-posta filtreleme özelliklerini uygulamaları ve güvenilmeyen kaynaklardan dosyaların yürütülmesini devre dışı bırakmaları önerilir.
Girnus, “Bu kampanyada hedeflenen ve etkilenen kuruluşlarda fark ettiğimiz ilginç bir paket, daha küçük yerel yönetim organları.” Dedi.
“Bu organizasyonlar genellikle yoğun siber baskısı altındadır, ancak genellikle göz ardı edilir, daha az siber meraklı ve daha büyük hükümet kuruluşlarının sahip olduğu kapsamlı bir siber stratejinin kaynaklarından yoksundur. Bu küçük kuruluşlar, tehdit aktörleri tarafından daha büyük hükümete dönük pivot puanları olabilir. Organizasyonlar. “