Bilgisayar korsanları, Smokeloader kötü amaçlı yazılımını dağıtmak için popüler dosya arşivinde 7-zipte sıfır günlük bir güvenlik açığından yararlandı.
CVE-2025-0411 olarak izlenen güvenlik açığı, Eylül 2024’te tanımlanmıştır ve o zamandan beri Ukrayna varlıklarını hedefleyen siber saldırılarda aktif olarak kullanılmıştır.
CVE-2025-0411, saldırganların Windows’un Web’in İşareti (MOTW) güvenlik mekanizmasını atlamasına izin veren yüksek şiddetli bir güvenlik açığıdır (CVSS skoru: 7.0).
MOTW, Microsoft Defender SmartScreen ve Microsoft Office Korumalı Görünüm gibi araçlara göre ek güvenlik kontrollerini sağlayan güvenilmeyen kaynaklardan indirilen dosyaları işaretleyen kritik bir özelliktir.
Kusur, 7-ZIP’nin (24.09 sürümünden önce) önceki sürümlerinin MOTW bayrağını iç içe geçmiş arşivlerden çıkarılan dosyalara yayamaması nedeniyle ortaya çıkıyor.
Bu kusur, saldırganların MOTW korumalarından kaçan kötü niyetli arşivler oluşturmalarını ve zararlı senaryoların veya yürütülebilir ürünlerin güvenlik uyarılarını tetiklemeden çalışmasına izin vermesini sağlar.
Vahşi doğada sömürü
Rus siber suç grupları, muhtemelen devam eden Rus-Ukrayna çatışması ortasında siber boyama kampanyalarının bir parçası olarak kırılganlığı silahlandırdı.
Bu gruplar, çift aralıklı kötü amaçlı dosyaları dağıtmak için mızrak-aktı e-postaları kullanmıştır.
TrendMicro, “Güvenlik açığı, mızrak avı kampanyaları yoluyla Rus siber suç grupları tarafından aktif olarak kullanıldı, belge uzantılarını ve hile kullanıcılarını ve Windows işletim sistemini kötü amaçlı dosyalar yürütmeye yönlendirmek için homoglif saldırıları kullanıldı” dedi.
Kullanılan özellikle aldatıcı bir teknik, dosya uzantılarının görsel olarak benzer karakterler kullanılarak (örneğin, Latin “C” nin Kyrillic “ES” ile değiştirilmesi) kullanıcıları dosyanın meşru olduğuna inanmak için taklit edildiği homoglif saldırılarıdır.
Örneğin, saldırganlar, “докetim” (“belgeler ve ödemeler” olarak çevrilen) “докуенти т (“ belgeler ve ödemeler ”olarak çevrilen) adlı bir dış arşiv dağıttılar.
Bu dosyaların çıkarılması ve yürütülmesi üzerine, Smokeloader kötü amaçlı yazılım kurban sistemlerine dağıtıldı.
Smokeloader, ilk olarak 2011’de tanımlanan modüler bir kötü amaçlı yazılım yükleyicisidir. Öncelikle ikincil yükler için bir indirici olarak hizmet eder, ancak aynı zamanda kimlik bilgisi hırsızlığı, veri eksfiltrasyonu, uzun süreli erişim için arka planlar oluşturma ve analizi önlemek için obfusasyon ve kum havuzu tespiti gibi bağımsız özelliklere sahiptir.
Azaltma stratejileri
CVE-2025-0411 ve benzer tehditlere karşı korumak için kuruluşlar aşağıdaki önlemleri uygulamalıdır:
- Bu güvenlik açığını ele alan tüm sistemlerin 7-ZIP sürüm 24.09 veya üstünü çalıştırdığından emin olun.
- Mızrak-aktı girişimlerini engellemek için sağlam e-posta filtreleme çözümlerini dağıtın.
- Çalışanları kimlik avı e -postalarını ve homoglif saldırılarını tanıma konusunda eğitin.
- Güvenilmeyen kaynaklardan dosyaların otomatik olarak yürütülmesini devre dışı bırakın ve doğrulama istemlerini uygulamak.
- Kötü niyetli dosya etkinliğini tanımlayabilen ve engelleyebilen uç nokta koruma araçlarını kullanın.
- C2 sunucuları ile kötü amaçlı yazılım iletişimini gösteren olağandışı kalıpları arayın.
Organizasyonlar, özellikle bu kampanyada saldırganlar tarafından kullanılan sofistike teknikler göz önüne alındığında, potansiyel tehditleri azaltmak için hızla hareket etmelidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free