乌克兰组织遭零日漏洞与同形异义字攻击:CVE-2025-0411深度分析

本文详细分析了CVE-2025-0411零日漏洞在7-Zip中的利用方式,攻击者通过双重归档绕过Windows标记来源保护,并结合同形异义字攻击针对乌克兰组织实施网络间谍活动。文章提供了技术细节、攻击链分析和防护建议。

CVE-2025-0411:乌克兰组织遭零日漏洞与同形异义字攻击

摘要

2024年9月,趋势科技零日倡议(ZDI)威胁狩猎团队发现7-Zip零日漏洞被用于针对乌克兰实体的SmokeLoader恶意软件活动。该漏洞CVE-2025-0411已披露给7-Zip创建者Igor Pavlov,并于2024年11月30日在版本24.09中发布补丁。CVE-2025-0411允许通过双重归档文件绕过Windows标记来源(MoTW)保护,从而阻止必要的安全检查并允许执行恶意内容。俄罗斯网络犯罪组织通过鱼叉式网络钓鱼活动积极利用该漏洞,使用同形异义字攻击伪造文档扩展名,欺骗用户和Windows操作系统执行恶意文件。该漏洞很可能被用于针对乌克兰政府和平民组织的网络间谍活动,作为持续俄乌冲突的一部分。我们为组织提供了主动保护系统的建议,包括将7-Zip更新至至少版本24.09、实施严格的电子邮件安全措施,并对员工进行网络钓鱼(包括同形异义字攻击)培训。

引言

2024年9月25日,趋势ZDI威胁狩猎团队发现了一个在野利用的零日漏洞,与部署称为SmokeLoader的加载器恶意软件相关。该漏洞被认为由俄罗斯网络犯罪组织用于针对乌克兰政府和非政府组织,网络间谍活动很可能是这些攻击的目的,作为持续俄乌冲突的一部分。利用涉及使用受损电子邮件账户和存在于归档工具7-Zip中的零日漏洞(CVE-2025-0411),通过同形异义字攻击进行操纵(我们将在本文中定义和解释)。经过初步分析和概念验证(PoC)开发,我们于2024年10月1日正式向7-Zip创建者Igor Pavlov披露了该漏洞。问题随后得到解决,7-Zip于2024年11月30日在版本24.09中发布了补丁。本文将首先基于提交给7-Zip的PoC,在理论背景下检查CVE-2025-0411。随后,我们将分析该漏洞作为零日在实际中的利用情况。

CVE-2025-0411:7-Zip标记来源绕过漏洞

当用户从不受信任的来源(如互联网)下载文件时,Microsoft Windows实施了一项称为标记来源(MoTW)的安全功能。此功能通过添加名为Zone.Identifier的NTFS备用数据流(ADS)来标记文件的本地副本。在此流中,嵌入了文本ZoneId=3,表示文件来自不受信任的区域,特别是互联网。这确保不受信任的文件不会被意外执行,并允许Windows操作系统通过Microsoft Defender SmartScreen执行额外的安全检查。CVE-2025-0411允许威胁行为者通过使用7-Zip双重归档内容来绕过Windows MoTW保护。双重归档涉及将归档封装在归档内。

MoTW指定通过通知系统和用户谨慎处理文件,然后通过Windows Defender SmartScreen执行额外分析,帮助防止自动执行潜在有害脚本或应用程序。

Windows MoTW是Windows安全架构的重要组成部分,需要其他关键Windows保护机制才能正常运行,例如:

  • Windows Defender SmartScreen,基于声誉和签名检查文件。
  • Microsoft Office受保护视图,保护用户免受恶意宏和动态数据交换(DDE)攻击等威胁。

CVE-2025-0411的根本原因是,在版本24.09之前,7-Zip未正确将MoTW保护传播到双重封装归档的内容中。这允许威胁行为者制作包含恶意脚本或可执行文件的归档,这些文件不会收到MoTW保护,使Windows用户容易受到攻击。

在图4中,poc.bat文件没有MoTW保护,因为它封装在poc.outer.zip\poc.inner.zip归档内。这大大增加了感染风险,并阻止Microsoft Windows Defender SmartScreen执行声誉和签名检查。

现在我们已经介绍了CVE-2025-0411的简单示例,让我们检查俄罗斯网络犯罪组织如何在野外利用此漏洞。

CVE-2025-0411被俄罗斯网络犯罪组织作为零日利用

如引言所述,我们于2024年9月25日首次在野外发现此零日漏洞利用。该漏洞被用于针对乌克兰政府和其他乌克兰组织的SmokeLoader活动,很可能由俄罗斯网络犯罪组织部署。

初始访问:鱼叉式网络钓鱼附件(T1566.001)

在调查过程中,我们发现了来自多个乌克兰政府机构和乌克兰商业账户的电子邮件,针对乌克兰市政组织和乌克兰企业。

在图6中,我们看到一个7-Zip附件(SHA256: ba74ecae43adc78efaee227a0d7170829b9036e5e7f602cf38f32715efa51826)来自属于乌克兰国家执行服务局(SES)的电子邮件账户,该组织是乌克兰行政分支内的前组织,现已与乌克兰司法部合并。此鱼叉式网络钓鱼电子邮件的接收者是扎波罗热汽车制造厂(PrJSC ZAZ)的帮助台——ZAZ是乌克兰最大的汽车、卡车和公共汽车制造商之一。就区域背景而言,扎波罗热州是乌克兰重要的工业地区,自2022年冲突开始以来,经历了乌克兰和俄罗斯部队之间最激烈的战斗。2022年3月3日,战斗以俄罗斯占领扎波罗热核电站达到高潮,引发了对潜在核熔毁的担忧。

此电子邮件于2024年9月25日首次上传到VirusTotal。

通过同形异义字攻击利用CVE-2025-0411

早些时候,我们讨论了CVE-2025-0411的工作PoC漏洞利用,该利用使用了嵌套归档结构,如poc.outer.zip/poc.inner.zip/poc.bat。在我们作为SmokeLoader活动一部分发现的样本中,内部ZIP归档部署了同形异义字攻击以伪造Microsoft Windows文档(.doc)文件。

什么是同形异义字攻击?

同形异义字攻击是一种结合排版操纵的攻击,使用外观相似的字符欺骗受害者点击可疑文件或访问恶意网站。这些攻击通常作为网络钓鱼活动的一部分使用,威胁行为者可能使用同形异义字欺骗合法网站,诱骗用户输入凭据以进行凭据收集。这些凭据随后将被用作进一步破坏组织的支点。例如,攻击者可能在域名中使用西里尔字母Es(看起来完全像拉丁字母С或с),例如api-miсrosoft[.]com,这里的“c”是“Es”字符而不是拉丁字符,以欺骗用户信任此域名——可能诱使他们输入敏感详细信息,如用户名和密码。

在图8中,同形异义字符的欺骗潜力得到了清晰展示。通过用西里尔字符“Es”(C)替换拉丁字符“C”,创建了一个完全伪造的Microsoft域名。这种排版操纵有效地误导个人相信他们正在访问合法的Microsoft域名,从而使他们认为登录屏幕是真实站点的一部分。

在图9中,描绘了实际的Microsoft登录域名,带有实际的拉丁“C”字符。尽管此域名具有TLS/SSL锁图标和Microsoft收藏夹图标,但这些指示器本身并不总是足以验证域名的真实性。通常需要全面分析TLS证书和其他技术细节来证实域名的合法性。然而,这些技术元素可能超出普通网络用户的理解范围。

在建立了对同形异义字攻击的理解后,让我们回到对野外示例的分析。

野外:通过同形异义字攻击进行零日利用

在此活动中,威胁行为者实施了额外的欺骗层,以操纵用户执行零日漏洞CVE-2025-0411。通过使用西里尔字符“Es”,攻击者设计了一个模仿.doc文件的内部归档。此策略有效地误导用户无意中触发CVE-2025-0411的漏洞利用,导致归档内容在没有MoTW保护的情况下释放。因此,这允许执行JavaScript文件(.js)、Windows脚本文件(.wsf)和Windows快捷方式文件(.url)。

使用SmokeLoader活动中的示例,Документи та платежи.7z(84ab6c3e1f2dc98cf4d5b8b739237570416bb82e2edaf078e9868663553c5412),翻译成英语为“Documents and payments”,作为外部ZIP归档,而Спiсок.doс(7786501e3666c1a5071c9c5e5a019e2bc86a1f169d469cc4bfef2fe339aaf384),翻译为“List”,作为内部归档。这使用了同形异义字攻击,其中“.doc”扩展名中的“c”是西里尔“Es”字符。

在图10中,我们可以看到外部和内部ZIP归档的并排比较(包含7-Zip魔法字节\x37\x7A\xBC\xAF\x27\x1C)。需要注意的是,即使两个归档碰巧都是7-Zip归档,在利用CVE-2025-0411时,使用的归档格式并不重要。

野外:Спiсок.doс(内部归档)的内容

在Спiсок.doс内部,.url文件Платежное Поручение в iнозеной валюте та сопроводiтельни документи вiд 23.09.2024p.url(2e33c2010f95cbda8bf0817f1b5c69b51c860c536064182b67261f695f54e1d5)指向攻击者控制的服务器,托管另一个ZIP归档。

如图11所示,Платежное Поручение в iнозеной валюте та сопроводiтельни документи вiд 23.09.2024p.url的文件图标被欺骗显示ZIP归档图标,旨在进一步欺骗用户执行文件。由于CVE-2025-0411的利用,此文件不包含MoTW保护。

野外:invoice.zip的内容

归档文件invoce.zip(888f68917f9250a0936fd66ea46b6c510d0f6a0ca351ee62774dd14268fe5420)包含一个可执行文件Платежное Поручение в iнозеной валюте.pdf.exe(a059d671d950abee93ef78a170d58a3839c2a465914ab3bd5411e39c89ae55a2),伪装成PDF文档。

一旦Платежное Поручение в iнозеной валюте.pdf.exe被执行,SmokeLoader有效负载也随之执行,导致恶意软件感染和系统完全受损。

已知受零日漏洞利用影响或针对的乌克兰组织

根据我们 uncovered 的数据,以下乌克兰政府实体和其他组织可能直接 targeted 和/或 affected 于此活动:

  • 乌克兰国家执行服务局(SES)– 司法部
  • 扎波罗热汽车制造厂(PrJSC ZAZ)– 汽车、公共汽车和卡车制造商
  • Kyivpastrans – 基辅公共交通服务
  • SEA Company – 电器、电气设备和电子制造商
  • Verkhovyna District State Administration - 伊万诺-弗兰科夫斯克州行政机构
  • VUSA – 保险公司
  • Dnipro City Regional Pharmacy – 地区药房
  • Kyivvodokanal – 基辅供水公司
  • Zalishchyky City Council – 市议会

请注意,受CVE-2025-0411零日攻击影响的组织汇编并不全面;很有可能还有其他组织 affected 或 targeted 由 perpetrators。似乎一些受损电子邮件账户可能来自先前的活动,并且新 compromised 账户可能会纳入未来的操作。这些 compromised 电子邮件账户的使用为发送给目标的电子邮件增添了一种真实性,操纵潜在受害者信任内容及其发送者。我们在此活动中 targeted 和 affected 的组织中注意到的有趣一点是较小的本地政府机构。这些组织通常面临巨大的网络压力,但往往被忽视,网络知识较少,并且缺乏大型政府组织拥有的全面网络战略资源。这些较小的组织可能成为威胁行为者 pivot 到 larger 政府组织的 valuable 支点。

建议

为了最小化与CVE-2025-0411及类似漏洞相关的风险,我们建议组织遵守以下最佳实践:

  • 确保所有7-Zip实例更新至版本24.09或更高版本。此版本解决了CVE-2025-0411漏洞。
  • 实施严格的电子邮件安全措施,包括使用电子邮件过滤和反垃圾邮件技术来检测和阻止鱼叉式网络钓鱼攻击。
  • 培训员工识别和报告网络钓鱼尝试。定期更新他们关于最新网络钓鱼策略的信息,包括本文讨论的文件和文件类型的同形异义字攻击。
  • 教育用户关于零日和n日漏洞及其在防止利用中的作用。
  • 教育用户关于MoTW的重要性及其在防止自动执行潜在有害脚本或应用程序中的作用。
  • 禁用来自不受信任源的文件的自动执行,并配置系统在打开此类文件前提示用户验证。
  • 实施域过滤和监控以检测和阻止基于同形异义字的网络钓鱼攻击。
  • 使用URL过滤阻止访问已知恶意域,并定期用新识别的威胁域更新黑名单。

Trend Vision One™

Trend Vision One™是一个网络安全平台,简化安全并帮助企业通过整合多个安全功能、更好地控制企业的攻击面,并提供对其网络风险状况的完全可见性来更快检测和阻止威胁。基于云的平台利用来自全球2.5亿个传感器和16个威胁研究中心的AI和威胁情报,在单一解决方案中提供全面的风险洞察、更早的威胁检测以及自动化的风险和威胁响应选项。

Trend Vision One威胁情报

为了领先于不断演变的威胁,Trend Vision One客户可以在Vision One内访问一系列情报报告和威胁洞察。威胁洞察帮助客户在 cyber 威胁发生之前保持领先,并通过提供关于威胁行为者、其恶意活动及其技术的全面信息,让他们为 emerging 威胁做好准备。通过利用此情报,客户可以采取主动步骤保护其环境、减轻风险并有效响应威胁。

  • Trend Vision One情报报告应用[IOC扫描]
    • CVE-2025-0411:零日漏洞分析及其在网络间谍活动中的使用
  • Trend Vision One威胁洞察应用
    • 新兴威胁:CVE-2025-0411:零日漏洞分析及其在网络间谍活动中的使用

狩猎查询

Trend Vision One搜索应用 Trend Vision One客户可以使用搜索应用匹配或狩猎本文中提到的恶意指标与其环境中的数据。

SmokeLoader VSAPI检测 malName:SMOKELOADER AND eventName:MALWARE_DETECTION AND LogType: detection 更多狩猎查询可用于具有威胁洞察权限的Trend Vision One客户。

结论

每个使用7-Zip的人立即更新到7-Zip版本24.09非常重要,特别是因为CVE-2025-0411自2024年9月以来一直处于 active 利用中,并且存在PoC概念。CVE-2025-0411的利用标志着在持续俄乌冲突的网络前线中使用零日漏洞的另一个实例。这种情况说明了当前网络冲突的动态性质,特别是通过同形异义字攻击等 advanced 零日部署技术的 employment。据我们所知,这代表了同形异义字攻击首次被整合到零日漏洞利用链中, thereby elevating concerns regarding 此类攻击 beyond 传统方法,如凭据收集、网络钓鱼和网站欺骗。此外,此活动强调了组织通过纳入对同形异义字攻击的理解来增强其网络安全培训计划的需要,特别是关于文件、文件扩展名和零日利用,而不是将重点仅限于网络欺骗。趋势ZDI威胁狩猎团队 engaged 在 proactive 努力中,以 identify 零日利用在野外, thereby safeguarding 组织 against 现实世界威胁 prior 供应商 awareness。我们将在有更多发现时回来。在此之前,您可以在Twitter、Mastodon、LinkedIn或Bluesky上关注趋势ZDI团队,以获取最新的漏洞利用技术和安全补丁。

妥协指标

此条目的妥协指标可在此处找到。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次