上个月趋势科技旗下的漏洞悬赏专案Zero Day Initiative(ZDI)公布针对这项漏洞发生的原因,ZDI指出是7-Zip处理压缩档的环节出包,当该应用程式从特制的压缩档(即经过双重压缩的档案)尝试解出档案时,不会对部分解压缩的档案复制MotW标记,使得攻击者有机会用来执行任意程式码,CVSS风险为7.0分,7-Zip专案开发者Igor Pavlov于去年11月30日发布24.09版修补。
但究竟ZDI如何发现这项漏洞?ZDI资深威胁研究员Peter Girnus表示,他们在去年9月25日察觉这项漏洞被实际用于攻击,俄罗斯骇客针对乌克兰政府机关与非政府组织下手,意图于受害电脑植入恶意程式载入工具SmokeLoader。对于骇客的动机,ZDI认为很可能与尚在进行的乌克兰战争有关。
在这起漏洞利用攻击行动里,骇客利用外流的电子邮件帐号,假冒乌克兰政府机关或是企业,对当地的企业组织发动攻击。这些电子邮件存在共通点,歹徒都挟带用来触发漏洞的压缩档附件。在其中一封邮件里,骇客佯称是乌克兰国家行政服务局(SES),锁定该国大型汽车制造商Zaporizhzhia Automobile Building Plant(PrJSC ZAZ)而来。
值得留意的是,骇客在利用上述7-Zip漏洞之余,他们也运用同形字(homoglyph)攻击手法来欺骗收信人,使得收信人降低戒心并依照指示点选恶意档案,或是存取恶意网站。
目前有哪些漏洞攻击的受害者?经过ZDI的调查,确认至少有9家乌克兰企业与政府单位受害,这些是公共交通运输服务、电子设备制造商、保险公司、地区药局、水资源公司、汽车制造商,以及国家与地方政府机关。