Pada kampanye serangan siber yang baru diidentifikasi, para peretas telah mengeksploitasi kerentanan zero-day (CVE-2025-0411) dalam alat kompresi file yang banyak digunakan, 7-Zip, untuk menyebarkan malware SmokeLoader.

Kampanye ini tampaknya merupakan bagian dari operasi siber yang lebih besar, yang menargetkan entitas pemerintah dan bisnis di Ukraina.

Metode Serangan: Email Spear-Phishing dan Teknik Homoglyph

Serangan ini memanfaatkan email spear-phishing dan teknik homoglyph yang canggih untuk melewati protokol keamanan dan menciptakan jalur menipu untuk menyebarkan malware.

• Kerentanan dalam Mekanisme Mark-of-the-Web (MoTW):
  • Kerentanan ini muncul dari kegagalan 7-Zip untuk meneruskan perlindungan MoTW Windows ke file dalam struktur arsip ganda.
  • MoTW penting untuk mencegah eksekusi otomatis file dari sumber yang tidak terpercaya, karena memberi sinyal kepada Windows untuk melakukan pemeriksaan keamanan tambahan.

• Strategi Penyerangan:
  • Para penyerang, yang kemungkinan terkait dengan kelompok ancaman Rusia, memulai kampanye ini pada September 2024.
  • Mereka menyisipkan file berbahaya dalam email spear-phishing yang dikirim dari akun Ukraina yang telah dikompromikan, menargetkan berbagai organisasi, termasuk kantor pemerintah dan produsen.

Penyebaran Malware SmokeLoader

Setelah file-file bersarang diekstrak dan dieksekusi, malware SmokeLoader diaktifkan.

• Fungsi SmokeLoader:
  • SmokeLoader adalah loader malware yang terkenal, memfasilitasi pengiriman payload sekunder seperti ransomware dan pencuri data.
  • Malware ini telah dikaitkan dengan kelompok kejahatan siber yang canggih dan ancaman persisten yang maju (APT), memperkuat kemampuannya untuk menghindari deteksi dan menyebabkan gangguan yang luas.

Kerentanan ini pertama kali dilaporkan oleh tim Trend Micro Zero Day Initiative (ZDI) pada September 2024, yang mengarah pada rilis patch oleh 7-Zip pada 30 November 2024, dengan versi 24.09.

Namun, selama periode tanpa perlindungan ini, beberapa organisasi telah dikompromikan dalam apa yang diyakini sebagai upaya terarah dalam konflik siber geopolitik yang sedang berlangsung antara Rusia dan Ukraina.

Rekomendasi untuk Organisasi

Organisasi diimbau untuk segera memperbarui 7-Zip ke versi terbaru yang telah dipatch.

• Strategi Mitigasi Tambahan:
  • Implementasi alat penyaringan email yang kuat.
  • Pelatihan karyawan untuk mengenali serangan phishing berbasis homoglyph.
  • Menonaktifkan eksekusi otomatis file dari sumber yang tidak terpercaya.
  • Menerapkan langkah-langkah keamanan endpoint yang lebih baik dan penyaringan