Cyberkriminelle umgehen Windows-Mark-of-the-Web-Schutz
Eine kürzlich geschlossene Sicherheitslücke im 7-Zip-Archivierungstool wurde gezielt für Angriffe ausgenutzt. Russische Hacker hatten einen Weg gefunden, um sie für die unbemerkte Einschleusung der Schadsoftware SmokeLoader auf infizierte Systeme zu verwenden
Die Schwachstelle, bekannt als CVE-2025-0411 (Bewertung: 7,0 auf der CVSS-Skala), erlaubt es Angreifern, den Windows-Mark-of-the-Web (MotW)-Schutz zu umgehen und beliebige Befehle auf dem infizierten Rechner auszuführen. Das Problem wurde im November 2024 mit 7-Zip-Version 24.09 behoben.
Laut Trend Micro wurde die Lücke gezielt von russischen Cyberkriminellen für Spear-Phishing-Kampagnen genutzt. Die Angreifer manipulierten Dateiendungen mit sogenannten Homoglyph-Angriffen, um ihre schädlichen Dateien als harmlose Dokumente erscheinen zu lassen. Dadurch wurden sowohl die Nutzer als auch das Windows-Betriebssystem getäuscht, sodass die infizierten Dateien ausgeführt wurden, ohne dass Sicherheitsmechanismen griffen.
Experten vermuten, dass diese Sicherheitslücke gezielt für Cyber-Spionageangriffe gegen Organisationen in der Ukraine missbraucht wurde, insbesondere im Zusammenhang mit dem anhaltenden Konflikt mit Russland.
Wie wurde der Windows-Schutz umgangen?
Der Mark-of-the-Web (MotW)-Schutz ist eine Windows-Sicherheitsfunktion, die verhindern soll, dass aus dem Internet heruntergeladene Dateien ohne Überprüfung ausgeführt werden. Dazu erhält jede Datei eine spezielle Sicherheitsmarkierung („Zone.Identifier“). Dateien mit der Kennung „ZoneId=3“ werden von Microsoft Defender SmartScreen zusätzlich überprüft, um Schadsoftware abzufangen.
Die Schwachstelle in 7-Zip nutzte eine Doppelarchivierung, um diesen Schutzmechanismus auszuhebeln. Die Angreifer verpackten ihre Schadsoftware zunächst in ein Archiv und betteten dieses in ein weiteres Archiv ein. Beim Entpacken des äußeren Archivs ging die ursprüngliche Sicherheitskennzeichnung verloren, sodass Windows die eigentliche Schadsoftware nicht mehr als potenziell gefährlich einstufte.
Laut Sicherheitsexperte Peter Girnus bestand das Problem darin, dass 7-Zip vor Version 24.09 den MotW-Schutz nicht korrekt auf verschachtelte Archive übertrug. Dadurch konnten Hacker Dateien verbreiten, die von Windows als sicher eingestuft wurden, obwohl sie Schadsoftware enthielten.
Erste Angriffe bereits 2024 entdeckt
Die ersten Angriffe mit dieser Zero-Day-Sicherheitslücke wurden am 25. September 2024 entdeckt. Die Infektionskette führte zur Schadsoftware SmokeLoader, die bereits mehrfach in Angriffen gegen die Ukraine eingesetzt wurde.
Der Angriff beginnt mit einer Phishing-E-Mail, die ein manipuliertes ZIP-Archiv enthält. Durch eine visuelle Täuschung erscheint die Datei wie ein Microsoft Word-Dokument. Wenn das Opfer sie öffnet, wird die 7-Zip-Sicherheitslücke (CVE-2025-0411) ausgenutzt, sodass sich die Schadsoftware unbemerkt ausführt.
Laut Trend Micro wurden diese Phishing-Mails über gehackte E-Mail-Konten ukrainischer Behörden und Unternehmen verschickt. Die Angreifer wollten dadurch Vertrauen erwecken und die Opfer zum Öffnen der Datei verleiten. Ziel waren kommunale Einrichtungen und Unternehmen, was darauf hindeutet, dass die Hacker bereits früher Zugang zu Netzwerken in der Region erlangt hatten.
Nach dem Öffnen der ZIP-Datei wird eine Internetverknüpfung (.URL-Datei) aktiviert, die zu einem Server der Angreifer führt. Dort wird ein weiteres ZIP-Archiv heruntergeladen, das die SmokeLoader-Schadsoftware enthält, getarnt als harmloses PDF-Dokument.
Zu den betroffenen Institutionen gehören mindestens neun ukrainische Regierungsstellen, darunter das Justizministerium, die Kiewer Nahverkehrsbetriebe, die Wasserversorgung und der Stadtrat von Kiew.
Kleinere Behörden als bevorzugtes Ziel
Girnus betont, dass die Angriffe oft kleinere Regierungsstellen trafen, die weniger IT-Sicherheit und weniger Ressourcen für umfassenden Schutz haben. Hacker könnten diese Organisationen als Sprungbrett nutzen, um sich weiter in größere Netzwerke auszubreiten.
Um sich vor solchen Angriffen zu schützen, sollten Nutzer ihre 7-Zip-Version aktualisieren, Phishing-E-Mails blockieren und die Ausführung unbekannter Dateien verhindern.
UAC-0006: Phishing-Kampagne mit Finanzbetrug
Eine weitere Angriffswelle wurde der Hackergruppe UAC-0006 zugeordnet, die sich auf Betrug mit Finanzthemen spezialisiert hat. Ihre „GetSmoked“-Phishing-Kampagne zielte auf die ukrainische PrivatBank ab, um dort SmokeLoader-Schadsoftware zu verbreiten.
Die Hacker verschickten zwischen Oktober 2024 und Januar 2025 E-Mails mit ZIP-Anhängen. Diese enthielten entweder JavaScript- oder Windows-Verknüpfungen (LNK-Dateien), die ein PowerShell-Skript starteten. Während dem Opfer ein harmloses PDF-Dokument angezeigt wurde, lud das Skript im Hintergrund SmokeLoader von einem externen Server herunter und führte ihn aus.
Laut CloudSEK Security-Spezialist Koushik Pal gibt es Parallelen zwischen UAC-0006 und der russischen Hackergruppe FIN7, was darauf hindeutet, dass diese Kampagne mit staatlich unterstützten russischen Cyberangriffen in Verbindung steht.