7-Zipのゼロデイ、ウクライナ組織への攻撃で悪用される(CVE-2025-0411) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 7-Zipのゼロデイ、ウクライナ組織への攻撃で悪用される(CVE-2025-0411)

Threat Report

Silobreaker-CyberAlert

脆弱性

7-Zipのゼロデイ、ウクライナ組織への攻撃で悪用される(CVE-2025-0411)

佐々山 Tacos

佐々山 Tacos

2025.02.05

2月5日:サイバーセキュリティ関連ニュース

7-Zipのゼロデイ、ウクライナ組織への攻撃で悪用される(CVE-2025-0411)

Help Net Security – February 4, 2025

7-ZipにおけるMark of the Web(MoTW)バイパスの脆弱性CVE-2025-0411がウクライナ組織に対するゼロデイ攻撃で悪用されていると、トレンドマイクロの研究者が報告。

CVE-2025-0411は2024年11月にリリースされたバージョンで修正されていた脆弱性で、7-Zipを使ってコンテンツを二重にアーカイブすることにより、MoTW保護のバイパスを可能にするもの。トレンドマイクロによればこの根本原因は24.09より前のバージョンの7-Zipが、二重にカプセル化されたアーカイブへ適切にMoTW保護を伝達しないことだという。このため、脅威アクターは悪意あるスクリプトや実行ファイルを盛り込んだアーカイブに細工を施し、MoTW保護が適用されなくなるようにすることが可能になる。したがってこの悪用が成功すれば、Windowsはユーザーに対して当該有害ファイルの実行時にセキュリティ警告を発しなくなるため、ファイルが実行される恐れが高まることになる。

トレンドマイクロは2024年9月、実際に攻撃者がこの脆弱性をゼロデイとして利用し、ターゲットにSmokeLoaderマルウェアを配布しようとしているのを観測。狙われたのはウクライナの自治体組織(Zalishchyky市議会など)の職員や同国の企業(Zaporizhzia Automobile Building Plantなど)の従業員だったという。初期感染経路は有害なファイルの添付されたEメールで、これらのメールはウクライナ政府の関連組織(the State Executive Service of Ukraineなど)に属する漏洩メールアカウントから送信されていた。

トレンドマイクロはこのマルウェアキャンペーンがロシアのサイバー犯罪グループによるものだと考えており、ロシア・ウクライナ戦争が継続中のなか、「サイバースパイ行為がこれらの攻撃の目的であることはほぼ確実」だと指摘している。

トランプホテルズを侵害したとBreachForums上のハッカーが主張

Cybernews – February 04

日本時間4日の18時ごろ、ハッキングフォーラムBreachForumsのあるユーザーがトランプホテルズ(Trump Hotels[.]com)から盗み出されたデータとされるものの一部をリーク。これらのデータは、トランプホテルズのEメール通知システムから抜き取られたものとみられるという。このリークを観測したマルウェアリサーチャー集団のVx-Undergroundによると、当該システムはホテルゲストに予約の詳細をリマインドしたり、確認したりするために使われるものとされる。

今回このデータをリークしたのは、「FutureSeeker」と名乗るほぼ無名のユーザーでBreachedでアクティブになったのは昨年8月と、活動歴も短い。FutureSeekerは「trumphotels.com – invitations List」と題した同フォーラムへの投稿において、trumphotels.comのサーバーからレコード164,910件を抽出したと主張している。

この投稿にはサンプルデータが掲載されており、これには、フルネーム、メールアドレス、データ作成日に加え、その他のサンプリングデータや通信日時が含まれているという。

Vx-Undergroundは当該データをレビューした結果を踏まえ、今回の侵害は政治的動機や金銭的動機に基づくものではないだろうと指摘。むしろ、最近米国大統領の就任式が行われたことを踏まえ、「この侵害は脅威アクター(たち)にとって自らの脅威グループ/アクターとしての正当性を裏付けるための手段だろうと認識している」と述べた。Vx-Undergroundはまた、FutureSeekerが公開したデータは2018年1月18日〜2025年1月15日のものであることや、予約日やチェックイン情報といったゲストのPII(個人を識別できる情報)は含まれていない模様であることなども報告している。

【無料配布中!】インテリジェンス要件定義ガイド

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック要件主導型インテリジェンスプログラムの構築方法の日本語訳バージョンを無料でダウンロードいただけます。

<ガイドブックの主なトピック>

本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

  • 脅威プロファイルの確立
  • ステークホルダーの特定・分析
  • ユースケースの確立
  • 要件の定義と管理
  • データの収集と処理
  • 分析と生産
  • 報告
  • フィードバック
  • 実効性の評価

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ