CVE-2025-0411:乌克兰组织遭零日漏洞与同形异义字攻击分析

本文详细分析了CVE-2025-0411零日漏洞在7-Zip中的利用情况,该漏洞被俄罗斯网络犯罪组织用于针对乌克兰政府及企业的网络间谍活动,涉及同形异义字攻击和SmokeLoader恶意软件传播,提供了防护建议和威胁指标。

CVE-2025-0411:乌克兰组织遭零日漏洞与同形异义字攻击

摘要

2024年9月,趋势科技零日倡议(ZDI)威胁狩猎团队发现7-Zip零日漏洞被利用于针对乌克兰实体的SmokeLoader恶意软件活动。该漏洞CVE-2025-0411已披露给7-Zip创建者Igor Pavlov,并于2024年11月30日在版本24.09中发布补丁。CVE-2025-0411允许通过双重归档文件绕过Windows标记-of-the-Web(MoTW)保护,从而阻止必要的安全检查并允许执行恶意内容。俄罗斯网络犯罪组织通过鱼叉式网络钓鱼活动积极利用该漏洞,使用同形异义字攻击欺骗文档扩展名,诱骗用户和Windows操作系统执行恶意文件。该漏洞很可能被用作针对乌克兰政府和平民组织的网络间谍活动,作为持续俄乌冲突的一部分。我们为组织提供了主动保护系统的建议,包括将7-Zip更新至至少版本24.09、实施严格的电子邮件安全措施以及对员工进行网络钓鱼(包括同形异义字攻击)培训。

引言

2024年9月25日,趋势ZDI威胁狩猎团队发现了一个在野利用的零日漏洞,与部署称为SmokeLoader的加载器恶意软件相关。该漏洞被认为被俄罗斯网络犯罪组织用于针对乌克兰政府和非政府组织,网络间谍活动很可能是这些攻击的目的,作为持续俄乌冲突的一部分。利用涉及使用受损电子邮件账户和存在于归档工具7-Zip中的零日漏洞(CVE-2025-0411),该漏洞通过同形异义字攻击进行操纵(我们将在本博客条目中定义和解释)。

在初步分析并开发概念验证(PoC)后,我们于2024年10月1日正式向7-Zip创建者Igor Pavlov披露了该漏洞。该问题随后得到解决,7-Zip于2024年11月30日在版本24.09中发布了补丁。

本条目将首先基于提交给7-Zip的PoC,在理论背景下检查CVE-2025-0411。随后,我们将分析该漏洞作为零日在实际利用中的情况。

CVE-2025-0411:7-Zip标记-of-the-Web绕过漏洞

当用户从不受信任的来源(如互联网)下载文件时,Microsoft Windows实施了一项称为标记-of-the-Web(MoTW)的安全功能。该功能通过添加名为Zone.Identifier的NTFS备用数据流(ADS)来标记文件的本地副本。在此流中,嵌入了文本ZoneId=3,表示文件来自不受信任的区域,特别是互联网。这确保不受信任的文件不会被意外执行,并允许Windows操作系统通过Microsoft Defender SmartScreen执行额外的安全检查。

CVE-2025-0411允许威胁行为者通过使用7-Zip双重归档内容来绕过Windows MoTW保护。双重归档涉及将一个归档文件封装在另一个归档文件中。

MoTW指定通过通知系统和用户谨慎处理文件,然后通过Windows Defender SmartScreen执行额外分析,帮助防止自动执行潜在有害的脚本或应用程序。

Windows MoTW是Windows安全架构的重要组成部分,需要其他关键Windows保护机制才能正常运行,例如:

  • Windows Defender SmartScreen,基于声誉和签名检查文件。
  • Microsoft Office受保护的视图,保护用户免受恶意宏和动态数据交换(DDE)攻击等威胁。

CVE-2025-0411的根本原因是,在版本24.09之前,7-Zip未正确将MoTW保护传播到双重封装归档的内容中。这允许威胁行为者制作包含恶意脚本或可执行文件的归档文件,这些文件不会受到MoTW保护,使Windows用户容易受到攻击。

在PoC演示中,poc.bat文件没有MoTW保护,因为它封装在poc.outer.zip\poc.inner.zip归档中。这大大增加了感染风险,并阻止Microsoft Windows Defender SmartScreen执行声誉和签名检查。

用户一旦执行poc.bat,就会受到威胁。

CVE-2025-0411被俄罗斯网络犯罪组织作为零日利用

如引言所述,我们于2024年9月25日首次在野外发现此零日漏洞。该漏洞被用于针对乌克兰政府和其他乌克兰组织的SmokeLoader活动,很可能由俄罗斯网络犯罪组织部署。

初始访问:鱼叉式网络钓鱼附件(T1566.001)

在调查过程中,我们发现了来自多个乌克兰政府机构和乌克兰商业账户的电子邮件,针对乌克兰市政组织和乌克兰企业。

例如,一个7-Zip附件(SHA256: ba74ecae43adc78efaee227a0d7170829b9036e5e7f602cf38f32715efa51826)来自乌克兰国家执行服务局(SES)的电子邮件账户,该组织现已与乌克兰司法部合并。此鱼叉式网络钓鱼邮件的接收者是扎波罗热汽车制造厂(PrJSC ZAZ)的帮助台——ZAZ是乌克兰最大的汽车、卡车和公共汽车制造商之一。就地区背景而言,扎波罗热州是乌克兰重要的工业区,自2022年冲突开始以来,经历了乌克兰和俄罗斯军队之间最激烈的战斗。2022年3月3日,战斗以俄罗斯占领扎波罗热核电站而达到高潮,引发了潜在核熔毁的担忧。

此电子邮件于2024年9月25日首次上传到VirusTotal。

通过同形异义字攻击利用CVE-2025-0411

之前,我们讨论了一个有效的CVE-2025-0411 PoC漏洞利用,该漏洞使用了嵌套归档结构,如poc.outer.zip/poc.inner.zip/poc.bat。在我们发现的SmokeLoader活动样本中,内部ZIP归档部署了同形异义字攻击来欺骗Microsoft Windows文档(.doc)文件。

什么是同形异义字攻击?

同形异义字攻击是一种结合排版操纵的攻击,使用外观相似的字符来欺骗受害者点击可疑文件或访问恶意网站。这些攻击通常作为网络钓鱼活动的一部分,威胁行为者可能使用同形异义字欺骗合法网站,诱骗用户输入凭据以进行凭据收集。这些凭据随后被用作进一步破坏组织的支点。

例如,攻击者可能在域名中使用西里尔字母Es(看起来完全像拉丁字母С或с),例如api-miсrosoft[.]com,这里的“c”是“Es”字符而不是拉丁字符,以欺骗用户信任此域名——可能是诱使他们输入敏感详细信息,如用户名和密码。

同形异义字字符的欺骗潜力显而易见。通过用西里尔字符“Es”(C)替换拉丁字符“C”,创建了一个完全欺骗的Microsoft域名。这种排版操纵有效地误导个人相信他们正在访问合法的Microsoft域名,从而使他们认为登录屏幕是真实站点的一部分。

尽管此域名具有TLS/SSL锁图标和Microsoft收藏夹图标,但这些指标本身并不总是足以验证域名的真实性。通常需要全面分析TLS证书和其他技术细节来证实域名的合法性。然而,这些技术元素可能超出普通网络用户的理解范围。

在建立了对同形异义字攻击的理解后,让我们回到对野外示例的分析。

野外:通过同形异义字攻击进行零日利用

在此活动中,威胁行为者实施了额外的欺骗层,以操纵用户执行零日漏洞CVE-2025-0411。通过使用西里尔字符“Es”,攻击者设计了一个模仿.doc文件的内部归档。此策略有效地误导用户无意中触发CVE-2025-0411的漏洞利用,导致归档内容在没有MoTW保护的情况下释放。因此,这允许执行JavaScript文件(.js)、Windows脚本文件(.wsf)和Windows快捷方式文件(.url)。

以SmokeLoader活动中的一个示例为例,Документи та платежи.7z(84ab6c3e1f2dc98cf4d5b8b739237570416bb82e2edaf078e9868663553c5412),英文翻译为“Documents and payments”,作为外部ZIP归档,而Спiсок.doс(7786501e3666c1a5071c9c5e5a019e2bc86a1f169d469cc4bfef2fe339aaf384),英文翻译为“List”,作为内部归档。这使用了同形异义字攻击,其中“.doc”扩展名中的“c”是西里尔“Es”字符。

在十六进制比较中,我们可以看到外部和内部ZIP归档(包含7-Zip魔法字节\x37\x7A\xBC\xAF\x27\x1C)的并排比较。需要注意的是,即使两个归档都是7-Zip归档,在利用CVE-2025-0411时,使用什么归档格式并不重要。

野外:Спiсок.doс(内部归档)的内容

在Спiсок.doс内部,.url文件Платежное Поручение в iнозеной валюте та сопроводiтельни документи вiд 23.09.2024p.url(2e33c2010f95cbda8bf0817f1b5c69b51c860c536064182b67261f695f54e1d5)指向攻击者控制的服务器,托管另一个ZIP归档。

如图11所示,Платежное Поручение в iнозеной валюте та сопроводiтельни документи вiд 23.09.2024p.url的文件图标被欺骗为显示ZIP归档图标,旨在进一步欺骗用户执行文件。由于CVE-2025-0411的利用,此文件不包含MoTW保护。

野外:invoice.zip的内容

归档文件invoce.zip(888f68917f9250a0936fd66ea46b6c510d0f6a0ca351ee62774dd14268fe5420)包含一个可执行文件Платежное Поручение в iнозеной валюте.pdf.exe(a059d671d950abee93ef78a170d58a3839c2a465914ab3bd5411e39c89ae55a2),伪装成PDF文档。

一旦Платежное Поручение в iнозеной валюте.pdf.exe被执行,SmokeLoader有效负载也会被执行,导致恶意软件感染和系统完全受损。

受零日漏洞影响或针对的已知乌克兰组织

根据我们 uncovered的数据,以下乌克兰政府实体和其他组织可能直接 targeted和/或 affected by此活动:

  • 乌克兰国家执行服务局(SES)–司法部
  • 扎波罗热汽车制造厂(PrJSC ZAZ)–汽车、公共汽车和卡车制造商
  • Kyivpastrans–基辅公共交通服务
  • SEA Company–电器、电气设备和电子制造商
  • Verkhovyna District State Administration–伊万诺-弗兰科夫斯克州政府
  • VUSA–保险公司
  • Dnipro City Regional Pharmacy–地区药房
  • Kyivvodokanal–基辅供水公司
  • Zalishchyky City Council–市议会

请注意,受CVE-2025-0411零日攻击影响的组织汇编并不全面;很有可能还有其他组织受到影响或 targeted by perpetrators。

似乎一些受损的电子邮件账户可能是从先前的活动中获取的,并且新受损的账户可能会被纳入未来的操作中。这些受损电子邮件账户的使用为发送给目标的电子邮件增添了一种真实性,操纵潜在受害者信任内容及其发送者。

我们在此活动中 targeted和 affected的组织中注意到的一个有趣点是较小的地方政府机构。这些组织通常面临巨大的网络压力,但往往被忽视,网络知识较少,并且缺乏大型政府组织拥有的全面网络战略资源。这些较小的组织可能成为威胁行为者转向大型政府组织的 valuable pivot points。

建议

为了最小化与CVE-2025-0411及类似漏洞相关的风险,我们建议组织遵守以下最佳实践:

  • 确保所有7-Zip实例更新至版本24.09或更高版本。此版本解决了CVE-2025-0411漏洞。
  • 实施严格的电子邮件安全措施,包括使用电子邮件过滤和反垃圾邮件技术来检测和阻止鱼叉式网络钓鱼攻击。
  • 培训员工识别和报告网络钓鱼尝试。定期更新他们关于最新网络钓鱼策略的信息,包括文件和文件类型的同形异义字攻击,如本条目所述。
  • 教育用户了解零日和n日漏洞及其在防止利用中的作用。
  • 教育用户了解MoTW的重要性及其在防止自动执行潜在有害脚本或应用程序中的作用。
  • 禁用来自不受信任来源的文件的自动执行,并配置系统在打开此类文件之前提示用户进行验证。
  • 实施域过滤和监控以检测和阻止基于同形异义字的网络钓鱼攻击。
  • 使用URL过滤阻止访问已知恶意域,并定期用新识别的威胁域更新黑名单。

Trend Vision One™

Trend Vision One™是一个网络安全平台,通过整合多种安全功能、实现对

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次