Gruppi cybercriminali russi stanno utilizzando una vulnerabilità del programma 7-Zip per colpire organizzazioni governative e non in Ucraina, con l’obiettivo di compiere azioni di spionaggio informatico. A rivelarlo un’indagine dei ricercatori Trend Micro, leader globale di cybersecurity, che si conclude dopo un lugo periodo di accertamenti e indagini nel dark web.
L’attacco si basa sull’utilizzo di account di posta elettronica compromessi e di una vulnerabilità nel programma di archiviazione 7-Zip (CVE-2025-0411). La campagna cybercriminale consiste nell’invio di e-mail provenienti da diversi organi di governo ucraini e account aziendali ucraini destinati sia alle organizzazioni municipali ucraine sia alle imprese ucraine. Le e-mail veicolano pericolosi allegati che contengono il malware SmokeLoader, in grado di oltrepassare i controlli di sicurezza tradizionali e che permettono ai cybercriminali di infiltrarsi nei sistemi ed entrare in possesso di informazioni critiche.
Organizzazioni coinvolte negli attacchi in Ucraina
- State Executive Service of Ukraine (SES) – Ministero della Giustizia Ucraina
- Zaporizhzhia Automobile Building Plant (PrJSC ZAZ) – Produttore di auto, bus e camion
- Kyivpastrans – Servizio di Trasporto Pubblico
- SEA Company – Prodotti elettronici
- Verkhovyna District State Administration – Amministrazione Pubblica
- VUSA – Compagnia Assicurativa
- Dnipro City Regional Pharmacy – Farmacia Regionale
- Kyivvodokanal – Azienda fornitrice d’acqua
- Zalishchyky City Council – Amministrazione pubblica
I ricercatori Trend Micro hanno analizzato la vulnerabilità a partire dal 1° ottobre 2024 e l’hanno formalmente comunicata a Igor Pavlov, il creatore di 7-Zip. La vulnerabilità è stata successivamente risolta con il rilascio di una patch da parte di 7-Zip.I ricercatori Trend Micro sottolineano, però, l’importanza critica di utilizzare il programma 7-Zip aggiornato all’ultima versione 7-Zip version 24.09, ancora non adottata da molte organizzazioni.
