
トレンドマイクロのZero Day Initiative(ZDI)チームは、2024年9月からウクライナの組織を標的とするSmokeLoaderマルウェアキャンペーンにおいて、7-Zipのゼロデイ脆弱性 CVE-2025-0411 が悪用されていることを発見しました。
目次
CVE-2025-0411の詳細と悪用手法
Windowsでは、インターネットなどの信頼できないソースからダウンロードされたファイルには「Mark-of-the-Web(MoTW)」が付与されます。
この保護機能は、NTFSの代替データストリーム (ADS) にZone.Identifier情報を記録し、Windows Defender SmartScreenを通じて追加のセキュリティチェックを実施します。
しかし、CVE-2025-0411 では、7-Zipのダブルアーカイブ処理の欠陥を悪用し、MoTWの適用を回避できることが判明しました。
サイバー攻撃者は、この脆弱性を利用して二重に圧縮されたアーカイブ(例: outer.zip/inner.zip/malicious.exe
)を作成し、MoTWの適用を回避することで、Windowsの警告なしに悪意のあるスクリプトや実行ファイルを実行させることができます。
ロシアのサイバー犯罪グループによる実際の攻撃
ZDIチームは、2024年9月25日に行われた攻撃で、このゼロデイ脆弱性がウクライナの政府機関および企業に対して積極的に使用されていることを確認しました。この攻撃には、以下の手法が用いられていました。
1.標的型攻撃メールによる初期侵入
攻撃者は、ウクライナ政府機関や企業のメールアカウントを侵害し、正規の送信元から標的型攻撃メールを送信しました。これにより、信頼された送信元として認識され、ターゲットの組織が悪意のあるファイルを開くリスクが高まりました。
画像:トレンドマイクロ
このメールはウクライナ司法省の国家執行局(SES)のアカウントから送信され7-Zip 添付ファイル (SHA256: ba74ecae43adc78efaee227a0d7170829b9036e5e7f602cf38f32715efa51826) が示されています。
SESは、ウクライナの行政機関内の旧組織で、現在はウクライナ法務省に統合されています。この標的型攻撃メールの受信者は、ザポリージャ自動車製造工場(PrJSC ZAZ)のヘルプデスクでした。ZAZは、ウクライナ国内で最大の自動車、トラック、バス製造会社の1つです。
地域的な背景として、ザポリージャ州はウクライナ国内の重要な工業地域であり、2022年の紛争開始以来、ウクライナ軍とロシア軍の間で最も激しい戦闘のいくつかが発生しました。特に2022年3月3日には、ロシア軍がザポリージャ原子力発電所を占拠し、潜在的な原子炉メルトダウンの懸念が高まりました。
2. ホモグリフ攻撃による拡張子の偽装
ホモグリフ攻撃とは、視覚的に類似した異なる文字を利用して、ユーザーを欺く攻撃手法で、
例えばgoogle.comのドメインと見せかけてgo0le.comとしてoを0というドメインを取得して攻撃でドッペルゲンガードメインを用いた攻撃に似ています。
このキャンペーン中脅威アクターは、ユーザーを操作してゼロデイ脆弱性 CVE-2025-0411 を実行させるために、ホモグリフ攻撃でペイロードを 7-Zip ファイル内に隠し、無害な Word または PDF 文書のように見せかけました。
親アーカイブを開くと MoTW フラグが発火しますが、CVE-2025-0411 の欠陥によりフラグが内部アーカイブの内容に伝播されず、悪意のあるスクリプトや実行ファイルが直接起動される可能性があります。
以下ファイルのアイコンは、 ZIP アーカイブ アイコンを表示するために偽装されています。このファイルには、CVE-2025-0411 の悪用による MoTW 保護が含まれていません
画像:トレンドマイクロ
ZipファイルにはPDFに見せかけた.exeファイルが含まれおり実行するとSmokeLoader ペイロードがトリガーされます。
画像:トレンドマイクロ
これは、過去にトロイの木馬、ランサムウェアをインストールしたり、永続的なアクセスのためのバックドアを作成したりするために使用されたマルウェア ドロッパーです。
トレンドマイクロによれば、これらの攻撃は以下の組織に影響を与えたとしています。
- ウクライナ国家行政サービス(SES) – 法務省
- ザポリージャ自動車製造工場 (PrJSC ZAZ) – 自動車、バス、トラック製造会社
- Kyivpastrans – キエフ公共交通サービス
- SEA Company – 家電、電気機器、電子機器メーカー
- ヴェルホヴィナ地区州行政– イヴァノフランキウスク州行政
- VUSA – 保険会社
- ドニプロ市地域薬局– 地域薬局
- キエフ水道会社– キエフ水道供給会社
- ザリシュチキ市議会– 市議会
参照
CVE-2025-0411: Ukrainian Organizations Targeted in Zero-Day Campaign and Homoglyph Attacks
企業が取るべき対策
1. 7-Zipのアップデート
脆弱性は2024年10月1日に7-Zipの開発者であるIgor Pavlovに報告され、2024年11月30日にバージョン24.09で修正パッチが提供 されました。すべての組織は 7-Zipを24.09以上に更新 することが必須です。
2. 標的型攻撃メール対策の強化
- メールセキュリティ対策(スパムフィルタリング、DKIM、DMARCの実装)
- 従業員向けのフィッシング訓練の実施
- MoTWの重要性に関する教育
3. ホモグリフ攻撃の防止策
- ドメイン監視およびフィルタリング(疑わしいUnicodeドメインのブロック)
- ファイル拡張子を明示的に表示する設定を適用
- 重要ファイルのハッシュチェックを実施し、改ざんを検知