في تطور حديث يمسّ الأمن السيبراني، تم الكشف عن استغلال ثغرة أمنية حديثة في أداة ضغط الملفات الشهيرة 7-Zip، حيث تم استغلالها في البرية لتوزيع برمجية خبيثة تعرف باسم SmokeLoader. تُعرف هذه الثغرة باسم CVE-2025-0411، وحصلت على درجة تقييم 7.0 حسب نظام CVSS، مما يعكس خطورتها العالية.
تحليل الثغرة والسياق التاريخي
تسمح الثغرة للمهاجمين عن بُعد بتجاوز حماية “علامة الويب” (Mark-of-the-Web) وتنفيذ شيفرات خبيثة في سياق المستخدم الحالي. تم حل هذه الثغرة في نوفمبر 2024 في الإصدار 24.09 من 7-Zip. وكشفت شركة Trend Micro عن أن مجموعات الجريمة السيبرانية الروسية استغلت الثغرة عبر حملات تصيد احتيالي موجهة.
اعتمدت الهجمات على تقنية الهوموجليف (Homoglyph) لتحريف امتدادات الملفات وإيهام المستخدمين ونظام التشغيل ويندوز بتنفيذ ملفات خبيثة. يُشتبه في أن الثغرة استُهدفت بها منظمات حكومية وغير حكومية في أوكرانيا كجزء من حملة تجسس سيبراني ضد خلفية الصراع الروسي الأوكراني المستمر.
تأثير الثغرة وأهميتها
تعتبر “علامة الويب” ميزة أمان طورتها مايكروسوفت لمنع تنفيذ الملفات تلقائيًا دون فحصها عبر Microsoft Defender SmartScreen. تمكنت CVE-2025-0411 من الالتفاف على هذه الميزة من خلال ضغط المحتويات مرتين باستخدام 7-Zip، أي إنشاء أرشيف ثم أرشفة الأرشيف لإخفاء الحمولة الخبيثة.
يكمن السبب الجذري للثغرة في أن الإصدارات السابقة لـ 24.09 لم تكن تنقل حماية “علامة الويب” إلى محتويات الأرشيفات المزدوجة، مما يتيح للمهاجمين إنشاء أرشيفات تحتوي على سكريبتات أو ملفات تنفيذية خبيثة لا تتلقى حماية “علامة الويب”.
الحملات السيبرانية وطرق الاستغلال
تم الكشف عن الهجمات التي تستغل الثغرة لأول مرة في 25 سبتمبر 2024، حيث استُخدمت برمجية SmokeLoader الخبيثة لاستهداف أوكرانيا. تبدأ الهجمات برسالة بريد إلكتروني تحتوي على ملف أرشيف مصمم خصيصًا، والذي يستخدم هجوم الهوموجليف لتمرير الأرشيف الداخلي كملف Microsoft Word، مما يفعّل الثغرة.
وفقًا لـ Trend Micro، أُرسلت رسائل التصيد الاحتيالي من حسابات بريد إلكتروني تابعة لجهات حكومية أوكرانية، مما يشير إلى اختراق سابق لهذه الحسابات. تُضفي هذه الحسابات المخترقة مصداقية على الرسائل المرسلة للأهداف، مما يخدع الضحايا المحتملين للوثوق في المحتوى والمرسلين.
يؤدي هذا النهج إلى تنفيذ ملف اختصار إنترنت (.URL) موجود داخل أرشيف ZIP، والذي يشير إلى خادم يتحكم فيه المهاجم يستضيف ملف ZIP آخر. يحتوي الملف الذي تم تنزيله حديثًا على ملف SmokeLoader التنفيذي متخفيًا كوثيقة PDF.
التوصيات والتدابير الوقائية
في ضوء الاستغلال النشط لـ CVE-2025-0411، يُنصح المستخدمون بتحديث أداة 7-Zip إلى أحدث إصدار، وتفعيل ميزات تصفية البريد الإلكتروني لمنع محاولات التصيد الاحتيالي، وتعطيل تنفيذ الملفات من مصادر غير موثوقة.
من المثير للاهتمام ملاحظة أن المنظمات المستهدفة في هذه الحملة تشمل الهيئات الحكومية المحلية الصغيرة، والتي غالبًا ما تكون تحت ضغط سيبراني شديد لكنها تُغفل وتفتقر للخبرة والموارد اللازمة لاستراتيجية سيبرانية شاملة كما هو الحال في المنظمات الحكومية الكبرى. يمكن أن تكون هذه المنظمات الصغيرة نقاط ارتكاز قيمة للتهديدات السيبرانية للتحول إلى منظمات حكومية أكبر.
هل تعتقد أن حملات التصيد الاحتيالي ستزداد تعقيدًا مع مرور الوقت؟ شاركنا رأيك على X (Twitter) وFacebook.
شاركنا رأيك بتعليق