TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > アプリ: 7-Zip > 7-Zip MotW bypass exploited in zero-day attacks against Ukraine

7-Zip MotW bypass exploited in zero-day attacks against Ukraine

アプリ: 7-Zip

【訳】

ウクライナに対するゼロデイ攻撃で悪用された7-Zip MotWバイパス


【図表】


WindowsにおけるMoTW警告 (BleepingComputer)

キャンペーンで使用されたフィッシングメールのサンプル (トレンドマイクロ)

マスクされたファイルの実際のコンテンツ (トレンドマイクロ)
出典: https://www.bleepingcomputer.com/news/security/7-zip-motw-bypass-exploited-in-zero-day-attacks-against-ukraine/


【要約】

7-Zipに存在していた「Mark of the Web(MoTW)」バイパス脆弱性(CVE-2025-0411)が、2024年9月以降、ロシアのハッカーによってウクライナの政府機関や民間組織を標的に悪用されていました。MoTWは、信頼できないファイルの実行を警告するWindowsのセキュリティ機能ですが、攻撃者は二重にアーカイブされたファイルを使用してこの警告を回避しました。悪意のあるアーカイブファイルは、フィッシングメールを通じて配信され、内部アーカイブの内容にMoTWフラグが適用されないため、被害者のシステムでSmokeLoaderマルウェアを実行させました。この脅威は、7-Zipのバージョン24.09で対策されましたが、自動更新機能がないため、ユーザーは手動で最新バージョンに更新することが求められています。


【ニュース】

◆7-Zip MotW bypass exploited in zero-day attacks against Ukraine (BleepingComputer, 2025/02/04 09:43)
[ウクライナに対するゼロデイ攻撃で悪用された7-Zip MotWバイパス]
https://www.bleepingcomputer.com/news/security/7-zip-motw-bypass-exploited-in-zero-day-attacks-against-ukraine/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022