Группировки, атакующие Украину, продолжают использовать уязвимость в WinRAR спустя год после выхода патча

APT

Уязвимость CVE-2025-8088 в популярном архиваторе WinRAR, которую производитель закрыл в июле 2025 года, продолжает активно применяться киберпреступными и государственными группировками для атак на украинские организации. По данным исследователей, как минимум до апреля 2026 года злоумышленники создавали новые образцы вредоносных архивов, использующих эту брешь. В зоне особого риска - государственные учреждения, военные структуры и предприятия оборонно-промышленного комплекса, где WinRAR остаётся стандартным инструментом для работы с файлами.

Описание

Проблема кроется в особенностях распространения архиватора. WinRAR не поддерживает автоматическое обновление и, в отличие от многих корпоративных продуктов, не управляется через централизованные политики групповых настроек. Проверить версию программы на сотнях компьютеров можно только вручную или с помощью сторонних инструментов. Такое положение дел создаёт устойчивую брешь в системе управления уязвимостями, чем активно пользуются злоумышленники.

Сама уязвимость CVE-2025-8088 относится к типу path traversal - обход пути каталога. Она позволяет незаметно записывать файлы за пределы папки, в которую пользователь распаковывает архив. Секрет кроется в использовании механизма NTFS Alternate Data Streams (потоков данных, которые могут быть прикреплены к файлу на жёстком диске). Вредоносная запись помещается в скрытый поток, а жертва видит лишь обычный документ-приманку, например, повестку в суд или уведомление от министерства обороны. Никаких диалоговых окон или предупреждений не появляется. Достаточно открыть архив в старой версии WinRAR, чтобы вредоносный код в фоне попал в автозагрузку и сработал при следующем входе в систему.

Исследователи из Trend Micro в своём отчёте детально описали две кампании, эксплуатирующие эту уязвимость. Первую связывают с группировкой SHADOW-EARTH-066, известной также как UAC-0226. Вторая кампания принадлежит кластеру Earth Dahu, более известному под именем Gamaredon. Обе группы целенаправленно атакуют украинские госорганы, воинские части и правоохранительные органы, но используют разные инструменты и инфраструктуру.

SHADOW-EARTH-066 за последний год кардинально изменила свою тактику. Если в начале 2025 года её арсенал состоял из фишинговых писем с макросами в файлах Excel, которые крали пароли и отправляли их через Telegram в открытом виде, то к февралю 2026 года группировка перешла на профессиональный инструментарий. Теперь доставка вредоносного кода происходит через уязвимость CVE-2025-8088. Цепочка включает три скрытых файла: ярлык для автозагрузки, скрипт-загрузчик на PowerShell и закодированную библиотеку DLL. Сама библиотека получила название result.dll и представляет собой эволюционировавшую версию стилера GIFTEDCROOK.

Новый стилер ворует пароли из браузеров Chrome, Edge, Firefox и Opera, а также собирает файлы с 35 различными расширениями: от текстовых документов и таблиц до архивов и баз данных KeePass. Особое внимание уделено защите Chrome версии 127 и новее: злоумышленники обходят механизм App-Bound Encryption, который Google внедрил специально для защиты от стилеров. После сбора данных вредоносная программа удаляет все свои файлы, не оставляя следов на диске. Анализ показал, что финальная нагрузка загружается в память напрямую через системные вызовы NT, минуя стандартные API, что сильно затрудняет обнаружение антивирусами.

Группировка Earth Dahu, в свою очередь, использует уязвимость WinRAR для доставки HTA-приложений - облегчённых веб-приложений, которые запускаются через штатную утилиту mshta.exe. Вредоносные архивы содержат один скрытый файл, попадающий в автозагрузку. При следующем входе в систему выполняется код, который загружает с удалённого сервера дополнительные модули шпионажа. Для маскировки трафика злоумышленники применяют Cloudflare Workers и подменяют адреса в URL с помощью символа @, заставляя ссылки выглядеть так, будто они ведут на сайты украинских госорганов (например, ssu.gov.ua) или крупных СМИ.

Сами фишинговые письма рассылаются со взломанных аккаунтов украинских госслужащих. Тематика писем - судебные повестки, исполнительные листы и постановления об аресте имущества. Исследователи отметили, что письма отправлялись с одинакового внутреннего IP-адреса через четыре разных почтовых ящика одного регионального сервера. Это говорит о том, что злоумышленники получили контроль над рабочим компьютером и использовали его для рассылки.

Последствия таких атак выходят далеко за пределы Украины. Скомпрометированные учётные записи военных и госслужащих позволяют получать доступ к контактам союзников и партнёров. Краденые документы могут содержать данные, имеющие ценность для разведки других стран. Кроме того, проблема не ограничивается только WinRAR. Многие широко распространённые утилиты - архиваторы, просмотрщики документов, медиаплееры - имеют схожие недостатки: они редко обновляются, не имеют централизованного управления и накапливают годами неисправленные уязвимости.

Специалисты рекомендуют как можно скорее обновить WinRAR до версии 7.13 и выше. В корпоративных сетях следует настроить мониторинг появления ярлыков и HTA-файлов в папке автозагрузки, а также блокировать доставку архивов RAR через почтовые шлюзы там, где это возможно. Особое внимание нужно уделить подозрительным командам PowerShell с ключами обхода политик выполнения и скрытыми окнами. Пока хоть одна организация оставит уязвимую версию программы, злоумышленники будут продолжать использовать эту лазейку.

Индикаторы компрометации

IPv4

  • 136.0.141.112
  • 136.0.141.138
  • 136.0.141.41
  • 166.0.132.237
  • 194.58.66.53
  • 194.58.66.82
  • 23.26.237.80
  • 38.225.209.122
  • 38.225.209.229

IPv4 Port Combinations

  • 136.0.141.138:8406
  • 136.0.141.41:9580
  • 166.0.132.237:7044
  • 38.225.209.229:9623

Domains

  • astrocaf.com

URLs

  • https://136.0.141.138:8406/rcv/
  • https://136.0.141.41:9580/rcv/
  • https://166.0.132.237:7044/rcv/
  • https://38.225.209.229:9623/rcv/

SHA256

  • 023c8f8e2a71da2044e3f04ac74c8b3616f417436476cea85222f01119615979
  • 1c170b7470d507378ddb78e9d66305f1184e965baaf2d27ededb23a318a58953
  • 22b07d2af98bb180474c33d93861124bbdf9b5dd7e42a8bddc654310469a9a2c
  • 276789b3b946753e9be482219bc4526da2da8772701f3b9d00c74038e2604ece
  • 2a6ce2445c096fc5e577a0af513ba6f4fb8a8097764c7df81824a782e07e7f65
  • 2a8ea9f1ad8936fb302243faa64b91c5767df411923715cbdb1a869e3bfd7e6d
  • 2d9adb7932b7842dfb0e0f453b87e5d28dd4552094105e6340bad009956d8c2b
  • 378809699c7252dc38b31969b9cc40858397759f15d6e418246dfaba9088fdd1
  • 37b42a83715f7a34e00d3458d4f4b6e53b8c95372677ce020a2e38e80e60ba87
  • 3c0330f9f934f86b6b70e108ff279a009b88a4a815acbed4adb3664e322e3e59
  • 3d371ef71e40c34a75c168d4647db096c2f386499d99a88d4e16b63cd4acda25
  • 44f6f7ba668fc645129d66353e6f60402822ae929ce54648cae0bba6348a18ea
  • 4e21c4c97aeb391473ee1e44961676f32de2ee8b56ecb136c1d8081df97c3db4
  • 507b2fcdae058cebbd550965b90c44e878d7a2463058c846eeb68f0dc1b48eda
  • 5d164b6d74dae9fe3022bc3cf453cd8b846e9cdc0cd616246fe620be88e3f1e5
  • 6083aac5376b7ca74cc363e0d66f70beaffee543d098c612b820b16fbfb0aa52
  • 65c053030558b4a3588e2590c5c4961a9912180b731686deb3f4c831e765a095
  • 68bafc624a4c0d11ef7a949c0077c704aa5ba0a3205fe5b62d29b727b46ccfe4
  • 718465f44c0680740fb61790eda3d2f4c5218c9de0c560299c580fa1602dc9c7
  • 7200a9f1e1ea51b66ab9c9274e9d8f805633179634e8ff4dcb8ef82bc02518df
  • 77963398e2c5c2fdf9d28d9c5f9c2791cfbf422ba02225e01635dd7f5b31eff8
  • 7d3ba419751e5ea52b567e1162f6a366bf3d06c44c8956a9f14520e9fb6ed0b1
  • 8150b2b39fa62fa2de177ed8526c621a3581c0eb481dd9740fc5894ce2b7c13b
  • 82fda6ea769d61aba230c3487787087cec53dd378e22f22a8fb8f0bd5ae83ded
  • 89d20418450b34efe698bd36214100cfa49f60adf1c39a8bc8d65991b1ce2c23
  • a717dd74c01fcfce35a28f374e1c6f9ded06d6f7b0cc04618ce9454ad64febb8
  • b01f31c9541579ad34f4e50acafec252eb419f5b1ca98155e0ec84c19d12c9e4
  • bf338d88f60c0d352cd0d1b5e4bc6a1d9f1ac8fe1df48516ec0042cafda821e9
  • c2527a907b209bc4ce911e36b79781ec260f0851eeb466dbeb386d67fec11467
  • ce78748acd8e9be741b143ad716d735dc682bd5a010427a199744b81456f8e35
  • d1d26b0f68e26ac591848796aeef7b9c766442bbff47af8823f9b23d1b588836
  • dc5082b07eb994ddee343a4080dce0a9ec2e891e5690654e24ae74ba9eabe422
  • e08dcb80346ded2bb2393a180e3f2612ed4c2ff0d3842390a5b527d003060212
  • e6bd725a2af981cd2b5c2217c1d7d906369d8daf48f02023fb73635f9e2b9659
  • e9d6938c9980cab735e8fb2eaa082ddc6f5dd7f2ff84d8ece01e8caaefdbb930
  • f668bd551859007cf2cc2a62bf0bf5414870a04e9782590c9bf85c849ddb308b
  • f9d2907d6b1de3078a0f111cc98764a92baf5ebd06cc8ab02637a65eff3b7f3a

Комментарии: 0