APT-группа Primitive Bear эксплуатирует свежую уязвимость WinRAR в атаках на Украину

Новая кампания, ориентированная на украинские государственные и военные структуры, была зафиксирована в октябре-ноябре 2025 года. Злоумышленники рассылают фишинговые письма с архивами, названия которых имитируют официальные документы. Например, "Повістка про виклик_357-16230-25_24.10.2025.pdf" или "Передати засобами АСУ Дніпро_2_1_1_7755_11.11.2025.pdf". Эти названия указывают на целевой характер атак, нацеленных на сотрудников воинских частей, территориальных центров комплектования и штабов.

Механика эксплуатации уязвимости CVE-2025-6218

Ключевым элементом атаки стала эксплуатация уязвимости CVE-2025-6218 в WinRAR версий до 7.11. Эта уязвимость, классифицируемая как критическая, представляет собой ошибку обхода каталогов (directory traversal), ведущую к удаленному выполнению кода (RCE). Злоумышленник может создать архив, который при распаковке записывает файлы за пределы предназначенной папки. В данном случае файл с расширением .hta (HTML Application) помещается прямо в автозагрузку пользователя: в папку "Startup".

С технической точки зрения, архив содержит два файла: поддельный PDF-документ и HTA-файл с запутанным именем, использующим синтаксис уязвимости. Когда жертва открывает архив, PDF извлекается в текущую директорию, а HTA-файл незаметно помещается в папку автозагрузки. После перезагрузки системы или следующего входа пользователя в систему этот файл выполняется автоматически, что дает злоумышленнику выполнение кода с привилегиями текущего пользователя. Для успешной атаки требуется лишь минимальное взаимодействие с пользователем - достаточно открыть архив.

Анализ вредоносной нагрузки

Проанализированные HTA-файлы содержат обфусцированный VBScript, который после очистки от мусорного кода оказывается простым загрузчиком. Его основная функция - с помощью утилиты "mshta.exe", являющейся стандартным компонентом Windows (так называемый LOLBIN - Living-off-the-Land Binary), обратиться к удаленному серверу и загрузить следующий этап вредоносной программы.

URL для загрузки часто маскируется под легитимные украинские домены. Например, в строке "http://president.gov.ua@readers.serveirc[.]com?/gSS_11.11.2025/kidneyfih/broadlyrQZ.pdf" часть "president.gov.ua@" служит для фишинговой маскировки, в то время как реальный хостинг происходит на поддомене "readers.serveirc.com". Этот домен принадлежит динамическому DNS-сервису, что является стандартной тактикой Primitive Bear для быстрой смены инфраструктуры.

Согласно предыдущим расследованиям, финальной нагрузкой в подобных цепочках заражения этой группы часто становятся бэкдоры Pteranodon или GammaLoad. Эти инструменты обеспечивают шпионские функции, такие как кража файлов, перехват ввода с клавиатуры, создание скриншотов и выполнение команд. Следовательно, конечная цель кампании - это классический кибершпионаж.

Инфраструктура угрозы

Анализ выявил разветвленную и изменчивую инфраструктуру, используемую в кампании. Злоумышленники активно применяют бесплатные динамические DNS-сервисы, такие как serveirc.com, freedynamicdns.net, ddns.net и webhop.me. Связанные IP-адреса размещены у различных хостинг-провайдеров в Индии, Греции, Чехии, Турции и Ирландии. Примечательно, что часть адресов арендуется через маркетплейс IP-адресов InterLIR, что позволяет злоумышленникам легко получать и менять "одноразовую" инфраструктуру. На момент анализа как минимум четырнадцать доменов оставались активными, что указывает на продолжение операции.

Рекомендации по защите

Эксперты рекомендуют организациям, особенно работающим в сфере национальной безопасности или на территории конфликта, принять ряд срочных мер. Во-первых, необходимо обновить WinRAR до версии 7.12 (Beta 1) или новее, где уязвимость CVE-2025-6218 была исправлена. Во-вторых, следует заблокировать выполнение HTA-файлов с помощью политик групповых рассылок (GPO), AppLocker или WDAC. В-третьих, важно усилить мониторинг на конечных точках, отслеживая создание файлов в папке автозагрузки ("Startup") и подозрительное использование системных утилит, таких как "mshta.exe" или "wscript.exe", для обращения к внешним URL. Наконец, необходимо тщательно проверять входящие письма с архивами, обращая внимание на нестандартные структуры путей внутри них.

Использование свежей уязвимости в популярном софте демонстрирует, что российские APT-группы продолжают оперативно интегрировать новые векторы атак в свои кампании кибершпионажа, направленные против украинских институтов.

IPv4

• 185.39.204.82
• 194.58.66.132
• 194.58.66.192
• 194.58.66.5
• 194.87.230.166
• 194.87.240.141
• 194.87.240.215
• 45.141.234.234
• 5.8.18.46

Domains

• acess-pdf.webhop.me
• app-334825a6-4a2b-48bc-be92-e0582d656006.cleverapps.io
• backup.9fvzesn.us
• creates.webhop.me
• dears.serveirc.com
• digitall.webhop.me
• dilopendos.serveirc.com
• diskpart.myddns.me
• document-downloads.ddns.net
• document-prok.freedynamicdns.org
• downcraft.serveirc.com
• downloads-document.freedynamicdns.org
• fixer.serveirc.com
• fixfactors.serveirc.com
• freedynamicdns.net
• google-pdf.redirectme.net
• hosting-redirect.sytes.net
• kia-court.serveirc.com
• libraries-thus-yale-collaborative.trycloudflare.com
• open-pdf.serveftp.com
• papilonos.hopto.org
• pasive-host.gotdns.ch
• political-news.serveirc.com
• print-documents.freedynamicdns.net
• procurature.freedynamicdns.org
• procuror.servehttp.com
• readers.serveirc.com
• selodovo.myddns.me
• serversftp.serveirc.com
• ssu-procuror.redirectme.net
• systems-debug.ddns.net
• vacations-mic-games-scale.trycloudflare.com
• write-document.freedynamicdns.org
• yeard.serveirc.com

URLs

• http://194.58.66.5/Gost
• http://5.8.18.46/sprdvth/tailor.ps1
• http://google.com@app-334825a6-4a2b-48bc-be92-e0582d656006.cleverapps.io/gpd_07.11.2025r/disputeqG1/concealedn2N.pdf
• http://google.com@document-downloads.ddns.net/OD/quitzU2/comparativelyNWU.jpeg
• http://google.com@document-downloads.ddns.net/OD/sensationaSL/AprilcWs.jpeg
• http://google-pdf.redirectme.net/OD/remisshKY/consentedjtP.jpeg
• http://nv.ua@serversftp.serveirc.com?/sss_10.11.2025/dialGsd/horribleNQx.pdf
• http://president.gov.ua@readers.serveirc.com?/gss_11.11.2025/kidneyfih/broadlyrQZ.pdf
• http://print-documents.freedynamicdns.net/SS/atomN2s/arwardU26.jpeg
• http://regnum.com@dilopendos.serveirc.com?/moss_10.11.2025/futureHtG/accountc7z.pdf
• http://ssu.gov.ua@app-334825a6-4a2b-48bc-be92-e0582d656006.cleverapps.io/ss_07.11.2025/flashlightsK8Q/pondjsQ.pdf
• http://swet.tv@vacations-mic-games-scale.trycloudflare.com/regretxso/GP4/investigationer4/exhibtionLD6.pdf
• http://t.me@fixer.serveirc.com?/SUU_11.11.2025/dicontentedOhr/scoundrelit1.pdf
• http://www.bbc.com@fixfactors.serveirc.com?/mmoUU_13.11.2025/evolutionKPm/armourV2P.pdf
• http://www.crimea.kp.ua@dears.serveirc.com/SVrr_12.11.2025/crookoxQ/learningB4J.pdf
• http://www.golosameriki.com@open-pdf.serveftp.com/motherrDJ/ssu/flowerbedD6M/dressmakerpvv.pdf
• https://libraries-thus-yale-collaborative.trycloudflare.com/Gost/pitchedcbY/intenseLKt.jpeg

SHA256

• 18c4d384f8fef858accb57fff9dc4036bf52a051b249696b657162b1adcbf104
• 21ad5d05a43d599b6225cd883b10356f4b8cd465a2fcb2745d90cfa65c6cffa1
• 237696ecc370688a8d1894eb2f95af53a3c0f8d42eb540b7f529b4d4f4492bc0
• 27bd90199e426719d1c3ef214215a17fae23f257d8bcb7a806e394e8666158f0
• 3611035faf63b8bf14c88a9bd02e3783f2bde3128c97f6317d4d4c912463ef39
• 4f844679b79baf9daa46751b7b6f15c2cb03a0162361f3863b42cf16e3a27984
• 5437c7bc4423b8acb8a6646ac2cd5379101ac73b6011549b25f1cd95bb333cea
• 591cd91512c68ec091b824ee9084326153d3bb229f313f5869409c3358788d2f
• 6256022d6a548acaf7fda1781a1121d2ea4d92ada829c9902c292e3aab27bd3f
• 631c02badd9ea7e2835256290f649a02136b1df312c4c8cd4d3f5df4558e3595
• 68314e93b47d774e378d4c573f08417bf40ead61caaeafbc128c3c6dff96ae0c
• 6aa9741f8b8629d0398049fa91dc5e7c28fd0d63bc76b3fd9be2dc196265263f
• 78329e00fd2592eaa53c5f5a73bb635cd5e22300209c622e3d988fd7c0a3935a
• 79343d0211758029b5fbffb89caa041f51a1f20ddcb39e4fd2c3ccf677ed5f07
• 7a1417492979f569747bf11211bf523d5479c163e717651ebba20ad73834b8bb
• 7c0af43f8a32cb68e7804844c03a1f73fa0121018f2684942c8bee13a665f62f
• 9ce60dde11c1ad72af22ccd774c0efe9c5a206e9dcfbc2388a1b09cc70747f09
• ab54862f180b379cb8d612fbb22891402e7d55151dba87e7b11e45c5e45b6d7c
• af860c5ce9401a7fed857169da9522966b5a5269b2a8a030aaf902299947eb5b
• bc7e3c6c59d462b4aad5b8ea9d2f4d1eb9a70a28a6475ad2405adb8c701a8e05
• c012ff34ff9f834e3d28ec6bb1fe3c9528ace6396b6103b0aae1ef6c140c2fbe
• c7726c166e1947fdbf808a50b75ca7400d56fa6fef2a76cefe314848db22c76c
• d9330f235584d387d6a08d35f8d501777f4e0b2a545f4752d459a9ad24c74772
• d9fec61a4b1bb0ee158e65a7cea8c8098bf1ea2117289a48c2ae9e373bb50e22
• dd140737bd81f4cba11769bbda0d48e071bd604ec21993ec85a60669f29c5537
• e2232eed8cd5dd5ac898e65e25001e496f320155ef40582d8a2a6e221d655e00
• e4258bdfa82a1065aa1095ae2c6da4240f6ebe20ba285e56f1e216eec5984510
• eed1ab171c449173059d2c5955e6ddfa73aaf952c612210b82c85137f42e01b8
• f8f4d2e627462c2e8b443f2b8f5efe4c1f0c14d9b1796e9eb1a2b598e524eda0
• fe3c9988490f950ed0d34d807664161bd90ef4e981e314f5a62e37cdd2cc2127