InforSec News: Các nhóm tội phạm mạng Nga khai thác lỗ hổng 7-Zip để vượt qua các biện pháp bảo vệ Windows MotW

Top Block Position

Các nhóm tội phạm mạng Nga khai thác lỗ hổng 7-Zip để vượt qua các biện pháp bảo vệ Windows MotW

Một lỗ hổng bảo mật được vá gần đây trong công cụ lưu trữ 7-Zip đã được khai thác tích cực để cung cấp phần mềm độc hại SmokeLoader.

Lỗ hổng CVE-2025-0411 (CVSS: 7.0), cho phép những kẻ tấn công từ xa phá vỡ các biện pháp bảo vệ đánh dấu web (MotW) và thực thi mã tùy ý trong ngữ cảnh của người dùng hiện tại. Lỗ hổng đã được 7-Zip giải quyết vào tháng 11 năm 2024 với phiên bản 24.09.

Lỗ hổng này đã được các nhóm tội phạm mạng Nga tích cực khai thác thông qua các chiến dịch lừa đảo, giả mạo phần mở rộng tài liệu và lừa người dùng và hệ điều hành Windows thực thi các tệp độc hại. Người ta nghi ngờ rằng CVE-2025-0411 có khả năng được vũ khí hóa để nhắm mục tiêu vào các tổ chức chính phủ và phi chính phủ ở Ukraine như một phần của chiến dịch gián điệp mạng trong bối cảnh xung đột Nga-Ukraine đang diễn ra.

MotW là một tính năng bảo mật do Microsoft triển khai trong Windows để ngăn chặn việc thực thi tự động các tệp được tải xuống từ internet mà không cần thực hiện kiểm tra thêm thông qua Microsoft SmartScreen Defender. CVE-2025-0411 bỏ qua MotW bằng cách nén kép nội dung bằng 7-Zip để che giấu các payload độc hại.

Các cuộc tấn công tận dụng lỗ hổng này như một zero-day lần đầu tiên được phát hiện vào ngày 25 tháng 9 năm 2024, với các trình tự lây nhiễm dẫn đến SmokeLoader, một phần mềm độc hại loader đã nhiều lần được sử dụng để nhắm mục tiêu vào Ukraine. Các tin nhắn lừa đảo được gửi từ các địa chỉ email liên quan đến các cơ quan quản lý và tài khoản doanh nghiệp của Ukraine đến các tổ chức thành phố và doanh nghiệp, cho thấy sự xâm nhập trước đó. Việc sử dụng các tài khoản email bị xâm nhập này mang lại tính xác thực cho các email được gửi đến mục tiêu, thao túng các nạn nhân tiềm năng tin tưởng nội dung và người gửi của họ.

Nguồn: The Hacker News

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Máy tính để bàn ảo VDI.
Lưu trữ dữ liệu Drive.
Quản lý dịch vụ công nghệ thông tin ITSM.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học