Команда ZDI (Zero Day Initiative) сообщила о активном использовании уязвимости нулевого дня в 7-Zip, известной как CVE-2025-0411, для проведения атак на украинские организации.
Описание
Уязвимость позволяет обойти защиту Windows MoTW (Mark-of-the-Web) путем двойного архивирования файлов, что приводит к обходу проверок безопасности и запуску вредоносного содержимого. Киберпреступные группы активно использовали эту уязвимость в кампаниях фишинга через гомоглифные атаки, подменяя расширения документов и обманывая пользователей и ОС Windows на выполнение вредоносных файлов.
Уязвимость CVE-2025-0411 позволяет обойти защиту Windows MoTW, которая помечает файлы, полученные из ненадежных источников, чтобы предотвратить их случайное выполнение. Двойное архивирование файлов с использованием 7-Zip позволяет злоумышленникам обойти эту защиту и выполнять вредоносное содержимое. Уязвимость была обнаружена в сентябре 2024 года, и создатель 7-Zip выпустил исправление в ноябре 2024 года.
Windows MoTW является важной частью безопасности операционной системы Windows и используется для работы других механизмов безопасности, таких как Windows Defender SmartScreen и Microsoft Office Protected View. Отсутствие должной защиты MoTW для содержимого двойных архивов в 7-Zip позволяет злоумышленникам создавать вредоносные файлы, которые не получают соответствующей пометки MoTW и могут быть опасны для пользователей Windows.
Indicators of Compromise
IPv4
- 185.156.72.78
Domains
- alfacentarusmulticopter.ru
- goodmastersportunicum.ru
- johnfabiconinteraption.ru
- lazaretmed.pw
- oncomnigos.online
- southlander.ru
- storeagroculturnaya.ru
- technoads.pw
- ukr-netfilediscdownloadapplication.ru
- unicalads.ru
URLs
- http://185.156.72.78/MyFolder/pay.zip
- http://alfacentarusmulticopter.ru/index.php
- http://goodmastersportunicum.ru/load/svc.exe
- http://johnfabiconinteraption.ru/index.php
- http://lazaretmed.pw/index.php
- http://oncomnigos.online/index.php
- http://southlander.ru/dklfhgjdfhgjd78khdgfjgh/akt.bat
- http://storeagroculturnaya.ru/index.php
- http://technoads.pw/index.php
- http://unicalads.ru/index.php
SHA256
- 2e33c2010f95cbda8bf0817f1b5c69b51c860c536064182b67261f695f54e1d5
- 54678013c8741db3340960e54ba93001c27619ead5cf5cc2eafd4c0fcf797ae6
- 554d9ddd6fd1ccb15d7686c8badb8653323c71884c7f20efb19b56324ff34fc1
- 5c7d582ba61ac95fb0d330ecc05feeb4853ac1de1f5a6fd12df6491dd0b7ea34
- 62eb856a5f646c2883a3982f15c3eb877641f9e69783383ce8a73c688eccd543
- 84ab6c3e1f2dc98cf4d5b8b739237570416bb82e2edaf078e9868663553c5412
- 888f68917f9250a0936fd66ea46b6c510d0f6a0ca351ee62774dd14268fe5420
- 8ee225bdd38cf6fd014a16beb9e33a0650147a9b7ea2104afe2f47c01bd1db0b
- 915b73a57aaf759fbd5352d79656e1b697545e6c9d953ab05aacf61ed4f6e397
- a059d671d950abee93ef78a170d58a3839c2a465914ab3bd5411e39c89ae55a2
- b3df042c5286fa91a4555e105038364bc66bfe7fdfe3769eb26b96e0ffe6096b
- cd123c288f623878218be31125000441bb8c5447375af67bc3c1d27d16eb5f8c
- d6d722ae73ddff1ad7c468feca882b159a2a6e267df8b219482b514cdab74c21
- fdfbdd42944c9e3b9697a8d8375e4e5cfd45c86941aa3f8f6dd0d08607b73144
