Lỗ hổng được định danh là CVE-2025-0411 (điểm CVSS 7,0), cho phép kẻ tấn công từ xa vượt qua các biện pháp bảo vệ mark-of-the-web (MotW) và thực thi mã tùy ý. Lỗ hổng đã được 7-Zip giải quyết vào tháng 11/2024 trong phiên bản 24.09.
“Các nhóm tội phạm mạng của Nga đã tích cực khai thác lỗ hổng này thông qua các chiến dịch lừa đảo trực tuyến, sử dụng các cuộc tấn công homoglyph để giả mạo phần mở rộng tài liệu và lừa người dùng cũng như Hệ điều hành Windows thực thi các tệp độc hại” - nhà nghiên cứu bảo mật Peter Girnus của Trend Micro cho biết.
Người ta nghi ngờ rằng lỗ hổng CVE-2025-0411 có khả năng đã được sử dụng để nhắm vào các tổ chức chính phủ và phi chính phủ ở Ukraine như một phần của chiến dịch gián điệp mạng trong bối cảnh xung đột Nga - Ukraine đang diễn ra.
MotW là một tính năng bảo mật do Microsoft triển khai trong Windows để ngăn chặn việc tự động thực thi các tệp được tải xuống từ Internet mà không thực hiện thêm các kiểm tra thông qua Microsoft Defender SmartScreen. Lỗ hổng CVE-2025-0411 bỏ qua MotW bằng cách lưu trữ kép nội dung bằng 7-Zip, tức là tạo một kho lưu trữ và sau đó là một kho lưu trữ của kho lưu trữ để che giấu các payload độc hại.
Các cuộc tấn công lợi dụng lỗ hổng này được phát hiện lần đầu tiên trong thực tế vào ngày 25/9/2024, với các chuỗi lây nhiễm dẫn đến SmokeLoader - một phần mềm độc hại đã được sử dụng nhiều lần để nhắm mục tiêu vào Ukraine. Cách tiếp cận này dẫn đến việc thực thi tệp lối tắt Internet (.URL) có trong tệp ZIP, tệp này trỏ đến máy chủ do kẻ tấn công kiểm soát đang lưu trữ một tệp ZIP khác. Tệp ZIP tải xuống sau đó có chứa tệp thực thi SmokeLoader được ngụy trang dưới dạng tài liệu PDF.
Ít nhất 9 cơ quan chính phủ Ukraine và các tổ chức khác bị ảnh hưởng bởi chiến dịch, bao gồm: Bộ Tư pháp, Dịch vụ Giao thông Công cộng Kyiv, Công ty Cung cấp Nước Kyiv và Hội đồng Thành phố.
Trước tình hình khai thác lỗ hổng CVE-2025-0411 đang diễn ra, người dùng được khuyến cáo nên cập nhật cài đặt lên phiên bản mới nhất, triển khai các tính năng lọc email để chặn các nỗ lực lừa đảo và vô hiệu hóa việc thực thi tệp từ các nguồn không đáng tin cậy.
Hà Phương
09:00 | 23/01/2025
08:00 | 19/02/2025
16:00 | 28/01/2025
16:00 | 22/01/2025
15:00 | 14/03/2025
Theo công ty bảo mật Cyfirma (Singapore), chỉ trong vòng một tuần, lượt tải của ứng dụng độc hại thuộc nhóm SpyLoan dưới vỏ bọc mang tên "Finance Simplified" đã tăng chóng mặt từ 50.000 đến 100.000 lượt. Người dùng khi cài ứng dụng này có thể bị thu thập dữ liệu, áp đặt khoản vay bóc lột và tống tiền chiếm đoạt tài sản.
10:00 | 31/12/2024
Các nhà nghiên cứu an ninh mạng đang đưa ra cảnh bảo về sự gia tăng đột biến của những hoạt động phá hoại liên quan đến việc kết nối các bộ định tuyến D-Link trong 2 mạng botnet khác nhau, một biến thể Mirai có tên là FICORA và một biến thể Kaiten (Tsunami) được gọi là CAPSAICIN.
15:00 | 27/12/2024
Mới đây, Công ty an ninh mạng Bitsight (Mỹ) đã phát hiện mạng lưới botnet BadBox bao gồm hơn 190.000 thiết bị Android, trong đó chủ yếu là các thiết bị TV thông minh Yandex và điện thoại thông minh Hisense.
07:00 | 02/12/2024
Theo cảnh báo của Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông, các thủ đoạn lừa đảo tài chính trực tuyến đang gia tăng tại Việt Nam, nhất là chiêu trò giả mạo tổ chức tài chính để mời chào người dân vay tiền, từ đó chiếm đoạt thông tin và tài sản.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Nhóm tin tặc UNC3886 được cho là có liên quan đến Trung Quốc đã tấn công các router MX đã hết vòng đời của Juniper Networks nhằm triển khai cửa hậu tuỳ chỉnh, cho thấy khả năng xâm nhập hạ tầng mạng nội bộ.
14:00 | 21/03/2025
