
Kerentanan keamanan yang baru-baru ini ditambal dalam alat pengarsipan 7-zip dieksploitasi di alam liar untuk mengirimkan malware Smokeloader.
Cacatnya, CVE-2025-0411 (Skor CVSS: 7.0), memungkinkan penyerang jarak jauh untuk menghindari perlindungan Mark-of-the-Web (MOTW) dan menjalankan kode sewenang-wenang dalam konteks pengguna saat ini. Itu ditangani oleh 7-ZIP pada November 2024 dengan versi 24.09.
“Kerentanan itu dieksploitasi secara aktif oleh kelompok kejahatan dunia maya Rusia melalui kampanye phishing tombak, menggunakan serangan homoglyph untuk memalsukan ekstensi dokumen dan menipu pengguna dan sistem operasi Windows untuk melaksanakan file berbahaya,” kata peneliti keamanan mikro tren Peter Girnus.

Diduga bahwa CVE-2025-0411 kemungkinan dipersenjatai untuk menargetkan organisasi pemerintah dan non-pemerintah di Ukraina sebagai bagian dari kampanye spionase dunia maya yang ditetapkan dengan latar belakang konflik Russo-Ukraina yang sedang berlangsung.
MOTW adalah fitur keamanan yang diimplementasikan oleh Microsoft di Windows untuk mencegah eksekusi file yang diunduh dari Internet tanpa melakukan pemeriksaan lebih lanjut melalui Microsoft Defender SmartScreen.
CVE-2025-0411 memotong motw dengan konten pengarsipan ganda menggunakan 7-zip, yaitu, membuat arsip dan kemudian arsip arsip untuk menyembunyikan muatan berbahaya.
“Akar penyebab CVE-2025-0411 adalah bahwa sebelum versi 24.09, 7-ZIP tidak merambat dengan benar perlindungan MOTW terhadap konten arsip yang dienkapsulasi ganda,” jelas Girnus. “Ini memungkinkan aktor ancaman untuk membuat arsip yang berisi skrip jahat atau executable yang tidak akan menerima perlindungan MOTW, membuat pengguna Windows rentan terhadap serangan.”
Serangan yang memanfaatkan cacat karena nol-hari pertama kali terdeteksi di alam liar pada 25 September 2024, dengan urutan infeksi yang mengarah ke Smokeloader, malware loader yang telah berulang kali digunakan untuk menargetkan Ukraina.
Titik awalnya adalah email phishing yang berisi file arsip yang dibuat khusus yang, pada gilirannya, menggunakan serangan homoglyph untuk melepaskan arsip zip dalam sebagai file dokumen Microsoft Word, secara efektif memicu kerentanan.
Pesan phishing, per tren mikro, dikirim dari alamat email yang terkait dengan badan pemerintahan Ukraina dan akun bisnis ke organisasi kota dan bisnis, menunjukkan kompromi sebelumnya.
“Penggunaan akun email yang dikompromikan ini memberikan suasana keaslian pada email yang dikirim ke target, memanipulasi korban potensial untuk mempercayai konten dan pengirim mereka,” Girnus menunjukkan.
Pendekatan ini mengarah pada pelaksanaan file shortcut internet (.url) yang ada dalam arsip ZIP, yang menunjuk ke server yang dikendalikan oleh penyerang yang menampung file zip lain. ZIP yang baru diunduh berisi SmokeLoader Executable yang disamarkan sebagai dokumen PDF.
Setidaknya sembilan entitas pemerintah Ukraina dan organisasi lain telah dinilai dipengaruhi oleh kampanye, termasuk Kementerian Kehakiman, Layanan Transportasi Umum Kyiv, Perusahaan Pasokan Air Kyiv, dan Dewan Kota.

Mengingat eksploitasi aktif CVE-2025-0411, pengguna disarankan untuk memperbarui instalasi mereka ke versi terbaru, mengimplementasikan fitur pemfilteran email untuk memblokir upaya phishing, dan menonaktifkan pelaksanaan file dari sumber yang tidak dipercaya.
“Satu takeaway menarik yang kami perhatikan dalam organisasi yang ditargetkan dan terpengaruh dalam kampanye ini adalah badan pemerintah daerah yang lebih kecil,” kata Girnus.
“Organisasi-organisasi ini sering berada di bawah tekanan cyber yang intens namun sering diabaikan, kurang paham cyber, dan tidak memiliki sumber daya untuk strategi cyber komprehensif yang dimiliki organisasi pemerintah yang lebih besar. organisasi. “