Уязвимость CVE-2025-8088 в популярном архиваторе WinRAR, которую производитель закрыл в июле 2025 года, продолжает активно применяться киберпреступными и государственными группировками для атак на украинские организации. По данным исследователей, как минимум до апреля 2026 года злоумышленники создавали новые образцы вредоносных архивов, использующих эту брешь. В зоне особого риска - государственные учреждения, военные структуры и предприятия оборонно-промышленного комплекса, где WinRAR остаётся стандартным инструментом для работы с файлами.
Описание
Проблема кроется в особенностях распространения архиватора. WinRAR не поддерживает автоматическое обновление и, в отличие от многих корпоративных продуктов, не управляется через централизованные политики групповых настроек. Проверить версию программы на сотнях компьютеров можно только вручную или с помощью сторонних инструментов. Такое положение дел создаёт устойчивую брешь в системе управления уязвимостями, чем активно пользуются злоумышленники.
Сама уязвимость CVE-2025-8088 относится к типу path traversal - обход пути каталога. Она позволяет незаметно записывать файлы за пределы папки, в которую пользователь распаковывает архив. Секрет кроется в использовании механизма NTFS Alternate Data Streams (потоков данных, которые могут быть прикреплены к файлу на жёстком диске). Вредоносная запись помещается в скрытый поток, а жертва видит лишь обычный документ-приманку, например, повестку в суд или уведомление от министерства обороны. Никаких диалоговых окон или предупреждений не появляется. Достаточно открыть архив в старой версии WinRAR, чтобы вредоносный код в фоне попал в автозагрузку и сработал при следующем входе в систему.
Исследователи из Trend Micro в своём отчёте детально описали две кампании, эксплуатирующие эту уязвимость. Первую связывают с группировкой SHADOW-EARTH-066, известной также как UAC-0226. Вторая кампания принадлежит кластеру Earth Dahu, более известному под именем Gamaredon. Обе группы целенаправленно атакуют украинские госорганы, воинские части и правоохранительные органы, но используют разные инструменты и инфраструктуру.
SHADOW-EARTH-066 за последний год кардинально изменила свою тактику. Если в начале 2025 года её арсенал состоял из фишинговых писем с макросами в файлах Excel, которые крали пароли и отправляли их через Telegram в открытом виде, то к февралю 2026 года группировка перешла на профессиональный инструментарий. Теперь доставка вредоносного кода происходит через уязвимость CVE-2025-8088. Цепочка включает три скрытых файла: ярлык для автозагрузки, скрипт-загрузчик на PowerShell и закодированную библиотеку DLL. Сама библиотека получила название result.dll и представляет собой эволюционировавшую версию стилера GIFTEDCROOK.
Новый стилер ворует пароли из браузеров Chrome, Edge, Firefox и Opera, а также собирает файлы с 35 различными расширениями: от текстовых документов и таблиц до архивов и баз данных KeePass. Особое внимание уделено защите Chrome версии 127 и новее: злоумышленники обходят механизм App-Bound Encryption, который Google внедрил специально для защиты от стилеров. После сбора данных вредоносная программа удаляет все свои файлы, не оставляя следов на диске. Анализ показал, что финальная нагрузка загружается в память напрямую через системные вызовы NT, минуя стандартные API, что сильно затрудняет обнаружение антивирусами.
Группировка Earth Dahu, в свою очередь, использует уязвимость WinRAR для доставки HTA-приложений - облегчённых веб-приложений, которые запускаются через штатную утилиту mshta.exe. Вредоносные архивы содержат один скрытый файл, попадающий в автозагрузку. При следующем входе в систему выполняется код, который загружает с удалённого сервера дополнительные модули шпионажа. Для маскировки трафика злоумышленники применяют Cloudflare Workers и подменяют адреса в URL с помощью символа @, заставляя ссылки выглядеть так, будто они ведут на сайты украинских госорганов (например, ssu.gov.ua) или крупных СМИ.
Сами фишинговые письма рассылаются со взломанных аккаунтов украинских госслужащих. Тематика писем - судебные повестки, исполнительные листы и постановления об аресте имущества. Исследователи отметили, что письма отправлялись с одинакового внутреннего IP-адреса через четыре разных почтовых ящика одного регионального сервера. Это говорит о том, что злоумышленники получили контроль над рабочим компьютером и использовали его для рассылки.
Последствия таких атак выходят далеко за пределы Украины. Скомпрометированные учётные записи военных и госслужащих позволяют получать доступ к контактам союзников и партнёров. Краденые документы могут содержать данные, имеющие ценность для разведки других стран. Кроме того, проблема не ограничивается только WinRAR. Многие широко распространённые утилиты - архиваторы, просмотрщики документов, медиаплееры - имеют схожие недостатки: они редко обновляются, не имеют централизованного управления и накапливают годами неисправленные уязвимости.
Специалисты рекомендуют как можно скорее обновить WinRAR до версии 7.13 и выше. В корпоративных сетях следует настроить мониторинг появления ярлыков и HTA-файлов в папке автозагрузки, а также блокировать доставку архивов RAR через почтовые шлюзы там, где это возможно. Особое внимание нужно уделить подозрительным командам PowerShell с ключами обхода политик выполнения и скрытыми окнами. Пока хоть одна организация оставит уязвимую версию программы, злоумышленники будут продолжать использовать эту лазейку.
Индикаторы компрометации
IPv4
- 136.0.141.112
- 136.0.141.138
- 136.0.141.41
- 166.0.132.237
- 194.58.66.53
- 194.58.66.82
- 23.26.237.80
- 38.225.209.122
- 38.225.209.229
IPv4 Port Combinations
- 136.0.141.138:8406
- 136.0.141.41:9580
- 166.0.132.237:7044
- 38.225.209.229:9623
Domains
- astrocaf.com
URLs
- https://136.0.141.138:8406/rcv/
- https://136.0.141.41:9580/rcv/
- https://166.0.132.237:7044/rcv/
- https://38.225.209.229:9623/rcv/
SHA256
- 023c8f8e2a71da2044e3f04ac74c8b3616f417436476cea85222f01119615979
- 1c170b7470d507378ddb78e9d66305f1184e965baaf2d27ededb23a318a58953
- 22b07d2af98bb180474c33d93861124bbdf9b5dd7e42a8bddc654310469a9a2c
- 276789b3b946753e9be482219bc4526da2da8772701f3b9d00c74038e2604ece
- 2a6ce2445c096fc5e577a0af513ba6f4fb8a8097764c7df81824a782e07e7f65
- 2a8ea9f1ad8936fb302243faa64b91c5767df411923715cbdb1a869e3bfd7e6d
- 2d9adb7932b7842dfb0e0f453b87e5d28dd4552094105e6340bad009956d8c2b
- 378809699c7252dc38b31969b9cc40858397759f15d6e418246dfaba9088fdd1
- 37b42a83715f7a34e00d3458d4f4b6e53b8c95372677ce020a2e38e80e60ba87
- 3c0330f9f934f86b6b70e108ff279a009b88a4a815acbed4adb3664e322e3e59
- 3d371ef71e40c34a75c168d4647db096c2f386499d99a88d4e16b63cd4acda25
- 44f6f7ba668fc645129d66353e6f60402822ae929ce54648cae0bba6348a18ea
- 4e21c4c97aeb391473ee1e44961676f32de2ee8b56ecb136c1d8081df97c3db4
- 507b2fcdae058cebbd550965b90c44e878d7a2463058c846eeb68f0dc1b48eda
- 5d164b6d74dae9fe3022bc3cf453cd8b846e9cdc0cd616246fe620be88e3f1e5
- 6083aac5376b7ca74cc363e0d66f70beaffee543d098c612b820b16fbfb0aa52
- 65c053030558b4a3588e2590c5c4961a9912180b731686deb3f4c831e765a095
- 68bafc624a4c0d11ef7a949c0077c704aa5ba0a3205fe5b62d29b727b46ccfe4
- 718465f44c0680740fb61790eda3d2f4c5218c9de0c560299c580fa1602dc9c7
- 7200a9f1e1ea51b66ab9c9274e9d8f805633179634e8ff4dcb8ef82bc02518df
- 77963398e2c5c2fdf9d28d9c5f9c2791cfbf422ba02225e01635dd7f5b31eff8
- 7d3ba419751e5ea52b567e1162f6a366bf3d06c44c8956a9f14520e9fb6ed0b1
- 8150b2b39fa62fa2de177ed8526c621a3581c0eb481dd9740fc5894ce2b7c13b
- 82fda6ea769d61aba230c3487787087cec53dd378e22f22a8fb8f0bd5ae83ded
- 89d20418450b34efe698bd36214100cfa49f60adf1c39a8bc8d65991b1ce2c23
- a717dd74c01fcfce35a28f374e1c6f9ded06d6f7b0cc04618ce9454ad64febb8
- b01f31c9541579ad34f4e50acafec252eb419f5b1ca98155e0ec84c19d12c9e4
- bf338d88f60c0d352cd0d1b5e4bc6a1d9f1ac8fe1df48516ec0042cafda821e9
- c2527a907b209bc4ce911e36b79781ec260f0851eeb466dbeb386d67fec11467
- ce78748acd8e9be741b143ad716d735dc682bd5a010427a199744b81456f8e35
- d1d26b0f68e26ac591848796aeef7b9c766442bbff47af8823f9b23d1b588836
- dc5082b07eb994ddee343a4080dce0a9ec2e891e5690654e24ae74ba9eabe422
- e08dcb80346ded2bb2393a180e3f2612ed4c2ff0d3842390a5b527d003060212
- e6bd725a2af981cd2b5c2217c1d7d906369d8daf48f02023fb73635f9e2b9659
- e9d6938c9980cab735e8fb2eaa082ddc6f5dd7f2ff84d8ece01e8caaefdbb930
- f668bd551859007cf2cc2a62bf0bf5414870a04e9782590c9bf85c849ddb308b
- f9d2907d6b1de3078a0f111cc98764a92baf5ebd06cc8ab02637a65eff3b7f3a