Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
セキュリティ

ロシアが圧縮・解凍ツール「7-Zip」の脆弱性を悪用してウクライナを攻撃していたことが発覚


圧縮・解凍ツール「7-Zip」のアーカイブ作成機能にWindowsの保護を無効化する脆弱(ぜいじゃく)性が存在していることが明らかになりました。問題を報告したセキュリティ企業のトレンドマイクロによると、脆弱性がロシアによるウクライナへの攻撃に悪用されていたそうです。

CVE-2025-0411: Ukrainian Organizations Targeted in Zero-Day Campaign and Homoglyph Attacks | Trend Micro (US)
https://www.trendmicro.com/en_us/research/25/a/cve-2025-0411-ukrainian-organizations-targeted.html


7-Zip 0-day was exploited in Russia’s ongoing invasion of Ukraine - Ars Technica
https://arstechnica.com/security/2025/02/7-zip-0-day-was-exploited-in-russias-ongoing-invasion-of-ukraine/

2024年9月25日に、トレンドマイクロの脅威ハンティングチームが7-Zipに存在するゼロデイ脆弱性「CVE-2025-0411」を特定しました。

ユーザーがインターネットなどの信頼できないソースからファイルをダウンロードすると、WindowsはMark-of-the-Web(MoTW)と呼ばれるセキュリティ機能を作動させます。この機能は、ダウンロードされたすべてのファイルに「Zone.Identifier」タグを配置して、Windows Defender SmartScreenによる追加の監視とファイルの実行方法ならびにタイミングに関する制限を行うというもの。Windows Defender SmartScreenが「潜在的に危険なアプリケーションが存在する」と判断した場合、ユーザーには以下のような警告が表示されます。


しかし、CVE-2025-0411では、脅威アクターは7-Zipのアーカイブ作成機能を用いてコンテンツを二重にアーカイブすることにより、MoTWを無効化することが可能です。実際にロシアのサイバー犯罪グループは、アーカイブ内に実行ファイルを埋め込み、そのアーカイブを別のアーカイブに埋め込むことで攻撃を行っていました。

トレンドマイクロの研究者であるピーター・ジルナス氏は「CVE-2025-0411の根本原因は、バージョン24.09より前の7-Zipが、二重カプセル化されたアーカイブのコンテンツにMoTW保護を適切に施していなかったことです。これにより、脅威アクターはMoTWを受けられない悪意のあるスクリプトや実行可能ファイルを含むアーカイブを作成できるようになり、Windowsユーザーは攻撃に対して脆弱になります」と報告しています。


また、攻撃をより巧妙に偽装するために、実行可能ファイルの拡張子は「ホモグリフ」と呼ばれるものでレンダリングされていました。これらは、特定のASCII文字と同一または類似しているように見えるものの、実際は全く違う文字というもの。一例として、ASCII文字の「C」とキリル文字の「С」があります。

CVE-2025-0411を悪用した脅威アクターは、脅威アクターはキリル文字の「С」を使用して「.doc」ファイルに見せかけたドキュメントファイルの内部アーカイブを作成しました。これを開くと、アーカイブ内のJavaScriptファイル(.js)やWindowsスクリプトファイル(.wsf)、およびWindowsショートカットファイル(.url)がMoTW保護なしで実行されてしまいます。以下の画像は一見するとPDFファイルに見えるものの、実際はアプリケーション(.exe)を実行してしまう悪質なファイルの例。


トレンドマイクロによる調査の結果、ウクライナの複数の政府機関やウクライナの地方自治体と企業を標的とした悪意のあるメールが送信されていることが発覚しました。脅威アクターは二重にアーカイブ化されたファイルをこれらの標的への電子メールに添付して攻撃に使用しました。以下は標的となったウクライナの政府機関。トレンドマイクロは「今回の攻撃の影響を受けたのは、サイバーセキュリティに精通しておらず、大規模な政府機関なら持っているはずの包括的なサイバー戦略のためのリソースが不足している小規模な地方自治体などが多かったです」と述べています。

ウクライナ国家行政庁(SES)
ザポリージャ自動車製造工場(PrJSC ZAZ)
キエフパストラン
SEA Company
ヴェルホヴィナ地区行政
VUSO
ドニプロ市地域薬局
キエフヴォドカナル
ザリシチキ市議会

この攻撃では、脅威アクターはキリル文字の「С」を使用して「.doc」ファイルに見せかけたドキュメントファイルの内部アーカイブを作成しました。これを開くと、アーカイブ内のJavaScriptファイル(.js)やWindowsスクリプトファイル(.wsf)、およびWindowsショートカットファイル(.url)がMoTW保護なしで実行されてしまいます。

これを受けてトレンドマイクロは初期分析と概念実証を行い、2024年10月1日に7-Zipの開発者であるイゴール・パブロフ氏に該当の脆弱性を報告。その後、2024年11月30日にこの脆弱性を修正した「バージョン24.09」がリリースされています。

この記事のタイトルとURLをコピーする

・関連記事
ウクライナがロシアのスパイ行為を懸念して政府・軍関係者が使用する政府端末でTelegramを禁止 - GIGAZINE

インターネットと隔離されたPCからUSBドライブ経由でデータを盗むハッカー集団「GoldenJackal」の手口とは? - GIGAZINE

向かいの建物にあるノートPCを遠隔から乗っ取るロシアのAPT28による「ニアレストネイバー攻撃」とは? - GIGAZINE

ロシアのサイバースパイ集団「シークレットブリザード」が他のハッカーのサーバーやインフラを乗っ取って攻撃している - GIGAZINE

中国・イラン・北朝鮮・ロシアなどがGoogle製AIのGeminiを使ってサイバー攻撃を実行しているとGoogle脅威インテリジェンスグループが報告 - GIGAZINE

・関連コンテンツ

in ソフトウェア,   セキュリティ, Posted by log1r_ut

You can read the machine translated English article It was discovered that Russia was exploi….