俄烏戰爭下的網路戰：俄羅斯如何利用 7-Zip 發動攻擊？

研究人員近期發現，早前的7-Zip zero-day 漏洞背後的陰謀，俄羅斯駭客組織在入侵烏克蘭期間，利用 7-Zip 壓縮工具的一個 zero-day 漏洞，成功繞過 Windows 針對下載文件的安全防護機制。該漏洞已被追蹤為 CVE-2025-0411，並於 11 月底隨 7-Zip 版本 24.09 發佈時修復。

繞過 Windows 的 MotW 防護

這次攻擊的關鍵，在於駭客成功規避了 Windows 的 Mark of the Web（MotW） 機制。該機制透過 Zone.Identifier 標籤來標記來自網絡的文件，並施加額外的安全檢查，防止惡意文件自動執行。然而，7-Zip 過去版本未能將此標籤正確應用於多層嵌套的壓縮文件，使攻擊者能夠在內部封裝惡意可執行文件，避開 Windows 防護。

透過烏克蘭政府帳戶發動攻擊

為了進一步掩飾攻擊，駭客還利用同形異義字技巧來偽造文件類型。例如，使用來自 Cyrillic 字符集 的「С」，它與 ASCII 字母「C」極為相似，但實際上是不同的字符。這種技術過去常用於 網域詐騙攻擊，如今則被應用於偽裝惡意可執行文件，使其看起來像普通文檔。

攻擊者將這些經過特殊偽裝的壓縮文件，附加在由烏克蘭政府機構受駭郵箱發出的郵件中，讓受害者更難以察覺異常。

建議使用者盡快更新

安全專家建議所有 7-Zip 使用者立即升級至最新版本 24.09，以修復該漏洞。此外，應提高警覺，避免開啟來路不明的壓縮文件，並使用 Windows Defender SmartScreen 或其他安全工具加強防護。

NewMobileLife 網站：https://www.newmobilelife.com
Facebook：https://www.facebook.com/jetsoiphone