Russian Cybercrime Groups Exploiting 7-Zip Flaw to Bypass Windows MotW Protections
2025/02/04 TheHackerNews — 先日に修正された 7-Zip アーカイバ・ツールの脆弱性が、SmokeLoader マルウェアの配信に悪用されている。 この脆弱性 CVE-2025-0411 (CVSS:7.0) を悪用するリモート攻撃者は、Mark-of-the-Web (MotW) 保護を回避し、カレント・ユーザーのコンテキストで任意のコード実行の可能性を得る。すでに 2024年11月の時点で 7-Zip は、バージョン 24.09 をリリースし、この問題を修正している。
Trend Micro のセキュリティ研究者である Peter Girnus は、「この脆弱性は、ホモグリフ攻撃を介してドキュメントの拡張子を偽装し、Windows オペレーティング・システとユーザーを騙して、悪意のファイルを実行させる。いまは、スピア・フィッシング・キャンペーンを通じて、ロシアのサイバー犯罪グループにより積極的に悪用されている」と述べている。
脆弱性 CVE-2025-0411 は、ロシア・ウクライナ紛争を背景とするサイバー・スパイ活動の一環として、ウクライナの政府機関および非政府組織を標的にするために、武器化された可能性が高いと疑われている。
MotW とは、インターネットからダウンロードされたファイルの、自動的な実行を防ぐために Windows に実装された、Microsoft Defender SmartScreen による追加のセキュリティ機能のことである。
脆弱性 CVE-2025-0411 を悪用する攻撃者は、7-Zip を介してコンテンツを二重にアーカイブ化することで、MotW を回避していく。つまり、アーカイブを作成した後に、そのアーカイブのアーカイブを作成し、悪意のペイロードを隠し持つ。
Peter Girnus は、「CVE-2025-0411 の根本的な原因は、 7-Zip のバージョン 24.09 未満が、二重にカプセル化されたアーカイブのコンテンツに対して、MotW 保護を適切に伝播しなかったところにある。それにより脅威アクターは、MotW の保護を回避する悪意のスクリプトや実行ファイルを取り込んだ、アーカイブの作成を達成できる。その一方で、Windows ユーザーは、この種の攻撃に対して脆弱になる」と指摘している。
この脆弱性をゼロデイとして悪用する攻撃は、2024年9月25日の時点で検出され、その感染シーケンスは SmokeLoader の展開へとつながる。この SmokeLoader は、ウクライナを標的として繰り返して悪用されるローダー・マルウェアである。
この攻撃の開始点は、特別に細工されたアーカイブ・ファイルを取り込んだ、フィッシング・メールである。このアーカイブ・ファイルは、ホモグリフ攻撃を介して、内部の ZIP アーカイブを Microsoft Word ドキュメント・ファイルとして偽装し、脆弱性を効果的にトリガーしていく。
Trend Micro によると、一連のフィッシング・メッセージは、ウクライナの行政機関とビジネス・アカウントに関連付けられたメール・アドレスから、自治体組織や国内企業に送信されているという。
Peter Girnus は、「これらの侵害された政府系のメール・アカウントが使用されると、ターゲットに送信されたメールに信憑性が与えられ、悪意の送信者とコンテンツを信頼させる効果が生まれる」と指摘している。
このアプローチにより、ZIP アーカイブ内に存在するインターネット・ショートカット (.URL) ファイルが実行され、攻撃者により管理されるサーバへとリンクされる。続いて、そこにホストされている 別の ZIP ファイルが新たにダウンロードされ、PDF ドキュメントに偽装された SmokeLoader 実行ファイルが侵入してくる。
少なくとも、ウクライナにおける9件の政府機関などが、このキャンペーンの影響を受けたと推定され、その中には、ウクライナ法務省/キエフ公共交通サービス/キエフ水道会社/市議会などが含まれるという。
脆弱性 CVE-2025-0411 の積極的な悪用は、懸念すべき状況を生み出している。したがって、ユーザーに強く推奨されるのは、最新バージョンへと速やかに更新することである。さらに、フィッシング攻撃をブロックする、電子メール・フィルタリング機能を実装し、信頼できないソースからのファイルについては、実行を無効化すべきである。
Peter Girnus は、「このキャンペーンの標的となり、影響を受けた組織に関する調査で気づいた、興味深い特徴は小規模な地方自治体にある。それらの組織は、激しいサイバー圧力に繰り返して直面しているが、見過ごされがちであり、サイバーに精通していない。さらに、大規模な政府組織が持つ、包括的なサイバー戦略を実施するにはリソースが不足している。これらの小規模組織は、脅威アクターにとって格好の標的となり、そこを拠点として、大規模な政府組織への本格的な攻撃が展開される」と締め括っている。
ロシアのサイバー犯罪グループによる、7-Zip の脆弱性 CVE-2025-0411 の悪用が確認されました。この脆弱性は、すでに修正されていますので、アップデートを忘れないよう、お気をつけください。よろしければ、以下の記事も、MoTW で検索と併せて、ご参照ください。
2025/01/26:7-Zip の MotW 脆弱性 CVE-2025-0411:PoC が提供される!
2025/01/20:7-Zip の脆弱性 CVE-2025-0411 が FIX:MotW フラグの欠落
IoT OT Security News 
You must be logged in to post a comment.