CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に

ウクライナへの全面的な侵攻以来、 ロシア起源のサイバー犯罪グループが ウクライナの国家機関やビジネス部門をスパイ行為と破壊目的で執拗に標的にしてきました。最近、サイバーセキュリティ研究者たちは、7-Zipのゼロデイ脆弱性を利用して SmokeLoader マルウェアを配信する大規模なサイバースパイ活動を明らかにしました。このキャンペーンの最終目的はサイバースパイであり、ウクライナでの紛争のデジタル最前線を激化させています。

CVE-2025-0411エクスプロイト試行の検出

増大する サイバースパイ キャンペーンは、ウクライナやその同盟国を標的にしており、現在のサイバー脅威のランドスケープの重要な側面として際立っています。最近明らかになった大規模な作戦はこの脅威をさらに強調しており、グローバル組織で広く活用されているオープンソースの7-Zipユーティリティのゼロデイ欠陥を利用しています。 

CVE-2025-0411の欠陥は、リモート攻撃者がウェブのマーク (MotW) 保護を回避し、現在のユーザーのコンテキスト内で任意のコードを実行できるようにします。最終的に SmokeLoader 感染に至ります。ロシアの脅威アクターがウクライナで悪意のある戦術をテストした後、グローバルなターゲットにそれを拡張する傾向があるため、セキュリティチームは積極的に行動するべきです。 

SOC Primeプラットフォーム は、集合型サイバー防衛のために、ウクライナを標的とし、CVE-2025-0411を活用してSmokeLoaderを拡散するロシア関連のサイバー犯罪グループによる最新のゼロデイキャンペーンに対処する一連のキュレーションされたSigmaルールを集約しています。「 検知を探す 」をクリックして、規則へのアクセスを得るためにすぐに詳細を掘り下げてください。

検知を探す

検出は、複数のSIEM、EDR、およびデータレイクソリューションと互換性があり、 MITRE ATT＆CK®フレームワーク とマッピングされており、脅威調査を合理化します。さらに、各Sigmaルールは、 CTI 参照、攻撃のタイムライン、トリアージの推奨事項、その他の豊富なメタデータで強化されています。 

調査を進めるために、セキュリティ専門家は、対応する Trend Microの研究で提供されるIOCを使用して即時の狩猟を開始することもできます。SOC Primeの Uncoder AI を活用して、カスタムIOCベースのクエリを数秒で作成し、選択したSIEMまたはEDR環境でそれらを自動的に操作します。以前は法人クライアントに限定されていたUncoder AIは現在、個々の研究者にもその完全な力を解放しています。詳細は こちら.

CVE-2025-0411の分析

2024年の初秋、ディフェンダーはCVE-2025-0411として知られる7-Zipのゼロデイ脆弱性の悪用を発見しました。この欠陥は、ウクライナの組織を標的とした SmokeLoader マルウェアキャンペーンに利用されています。 

CVE-2025-0411は、CVSSスコアが7.0で、リモート攻撃者がWindowsのMotW保護を回避し、現在のユーザーの権限で任意のコードを実行することを可能にします。この問題は、ベンダーによって2024年11月にリリースされた バージョン24.09で解決されました。しかし、最近パッチされたこの欠陥は、SmokeLoaderを配布するために積極的に武器化されています。特に、ウクライナに対する現実のキャンペーンでは、著名なロシア関連のハッキンググループ、 UAC-0006.

の兵器庫から広く使用されているオフェンシブツールであるSmokeLoaderを利用していることが注目されています。この脆弱性はおそらく、ウクライナの国家機関および民間部門を標的としたサイバースパイキャンペーンの一部として使用され、その背景には ロシアとウクライナのより広い紛争と一致しています。CVE-2025-0411の基礎的な問題は、ベンダーがバージョン24.09のパッチ前に、二重カプセル化されたアーカイブ内のファイルに対してMotWの保護を正しく適用できなかったことです。この欠陥により、ハッカーは悪意のあるスクリプトや実行可能ファイルを持つアーカイブを作成してMotWのセキュリティ対策を回避し、Windowsユーザーを潜在的な脅威に晒すことが可能になります。

CVE-2025-0411の機能的なPoCエクスプロイトのリリースにより、感染のリスクが増加しました。進行中のSmokeLoaderキャンペーンでは、内部ZIPアーカイブが同字異形攻撃を使用し、悪意のあるファイルを.docとして偽装しました。同字異形攻撃は フィッシング キャンペーンで頻繁に使用されることが知られています。最新のSmokeLoaderキャンペーンでは、ロシア関連のハッカーが、犠牲者をCVE-2025-0411を悪用するように誘導するために、欺瞞の一層を追加しています。彼らはキリル文字の「Es」を使用して、.docファイルを模倣する内側のアーカイブを作成し、ユーザーを誤解させて不本意にエクスプロイトを引き起こさせました。 

特に、一部の影響を受けた電子メールアカウントは以前のキャンペーンで取得され、新たに侵害されたアカウントは将来の攻撃で使用され、電子メールをより正当なものに見せかけ、犠牲者の操作の可能性を高める可能性があります。このキャンペーンからのもう一つの観察点は、攻撃者がサイバー圧力下にあり、十分に装備されていないため、しばしばより大きな公共部門組織に侵入するためのアクセスポイントとして機能する地方の国家機関に焦点を当てていることです。

CVE-2025-0411の潜在的な緩和措置として、組織は製品をバージョン24.09またはそれ以降のもので更新し、スピアフィッシングを防ぐための強力な電子メールセキュリティを施行し、同字異形攻撃などのフィッシング試行をタイムリーに特定するためのサイバーセキュリティ意識を向上させるべきです。 集合型サイバー防衛のためのSOC Primeプラットフォーム は、セキュリティチームに対し、新興の脅威、特に野にいた攻撃で悪用されたCVEに対して事前に防御するための将来に備えた製品スイートを提供し、進歩的な組織が堅固なサイバーセキュリティ戦略を採用するのを助けます。