Группа Lazarus (также известная как APT-C-26) продолжает демонстрировать высокую активность, применяя сложные методы для атак на высокоценные цели. По данным исследования 360 Advanced Threat Research Institute, в ходе недавней кампании злоумышленники использовали уязвимость CVE-2025-8088 в популярном архиваторе WinRAR. Этот патч (исправление) был выпущен для устранения критической уязвимости, связанной с обработкой альтернативных потоков данных NTFS (Alternate Data Stream, ADS). Атака была направлена на пользователей, связанных с криптовалютной сферой, с конечной целью установки мощного информационного стеалера (ворующего данные) под названием Blank Grabber.
Описание
Техника атаки: эксплуатация уязвимости при распаковке
Атака начиналась с доставки целевым пользователям файла "Pharos.rar". Этот архив был замаскирован под проект "Pharos-Automation-Bot", известный в сообществе криптовалютных трейдеров. Внутри архива скрывался эксплойт (вредоносный код, использующий уязвимость), использующий уязвимость CVE-2025-8088 в WinRAR версий до 7.13. Суть уязвимости заключалась в недостаточной проверке пути при создании файлов с альтернативными потоками данных (ADS). Это позволяло злоумышленникам осуществлять запись файлов в произвольные каталоги на файловой системе жертвы.
Конкретно, при распаковке вредоносного архива в уязвимой версии WinRAR происходила так называемая "атака с обходом пути" (Path Traversal). В результате исполняемый файл "1.bat" автоматически помещался в папку автозагрузки Windows ("Start Menu\Programs\Startup"), что обеспечивало его выполнение при следующем запуске системы. Интересно, что при открытии того же архива в других программах, например, в 360 Compression, эта скрытая структура файлов была видна, что указывает на целенаправленное использование особенностей WinRAR.
Многоступенчатая нагрузка и установка стеалера
Скрипт "1.bat", попавший в автозагрузку, был тщательно замаскирован. При запуске он показывал пользователю поддельное окно с предупреждением от Windows Defender, предлагая "обновить" защиту. Под этим предлогом скрипт отключал средства безопасности и загружал с облачного сервиса Dropbox следующий этап атаки - файл "stub.pyw". Этот файл представлял собой сложный загрузчик (loader) на Python, использующий многослойную обфускацию (запутывание кода), включающую обратный порядок строк, кодирование Base64 и сжатие Zlib. После более чем 60 циклов декодирования и распаковки исполнялся основной вредоносный код.
Первая часть этого кода проверяла наличие на системе среды Python и при необходимости устанавливала ее, обеспечивая выполнение последующих скриптов. Кроме того, она создавала механизмы для обеспечения постоянного присутствия (persistence), например, путем создания запланированных задач. Затем загружался так называемый Tsunami Installer - компонент, известный по предыдущим атакам Lazarus и используемый для развертывания дополнительных вредоносных модулей, таких как майнеры криптовалют.
Ключевым же компонентом был стеалер Blank Grabber. Это открытый инструмент для кражи данных, который Lazarus адаптировал для своих целей. Конфигурация показала, что злоумышленники активировали самые прибыльные функции, настроив отправку собранных данных через Telegram-бота.
Цели кражи: от паролей до кошельков
Функционал внедренного стеалера был чрезвычайно широким и нацеленным на максимальную финансовую выгоду. Во-первых, он собирал данные из браузеров на базе Chromium (Chrome, Edge, Brave и др.): сохраненные пароли, файлы cookies, данные автозаполнения и историю посещений. Это давало злоумышленникам доступ к учетным записям жертв.
Во-вторых, специально таргетировались мессенджеры. Стеалер извлекал сессионные данные Telegram и токены Discord, что позволяло перехватить контроль над аккаунтами, включая связанные с ними номера телефонов, email и даже платежные данные.
Главной целью, однако, были криптовалютные активы. Blank Grabber был сконфигурирован для поиска и кражи сид-фраз (seed phrase), приватных ключей и других данных для доступа к более чем 20 видам криптокошельков. Среди них - MetaMask, Exodus, Electrum, Atomic Wallet, Trust Wallet и Binance Chain Wallet. Получение этой информации практически равноценно прямому доступу к средствам жертвы.
Признаки Lazarus и рекомендации по защите
Аналитики с высокой степенью уверенности приписывают эту кампанию группе Lazarus. На это указывает несколько факторов. Использованная многоэтапная обфускация кода (обратный порядок, Base64, Zlib) ранее наблюдалась в атаках этой группы. Задействованный компонент Tsunami Installer с характерными артефактами, такими как пароль распаковки "!!!HappyPenguin1950!!!", напрямую связывает атаку с известными инструментами Lazarus. Наконец, выбор тематики приманки, связанной с автоматизацией криптовалютных операций, полностью соответствует долгосрочным интересам этой группировки, неоднократно воровавшей цифровые активы.
Для защиты от подобных угроз эксперты настоятельно рекомендуют пользователям и компаниям предпринять несколько шагов. Прежде всего, необходимо немедленно обновить WinRAR до актуальной версии 7.13 или выше, где уязвимость CVE-2025-8088 исправлена. Следует проявлять крайнюю осторожность при работе с архивами, особенно полученными из непроверенных источников. Разработчикам, использующим Python, рекомендуется тщательно проверять пакеты, устанавливаемые из репозитория PyPI, на предмет признаков подмены. В корпоративной среде необходимо внедрять решения для обнаружения угроз (IDS/IPS), способные детектировать известные сигнатуры Lazarus и подозрительную активность, связанную с кражей данных. Регулярное обучение сотрудников принципам кибергигиены остается одной из ключевых мер против сложных фишинговых кампаний, которые часто являются начальной точкой для таких атак.
Индикаторы компрометации
MD5
- 273af5e2e0130baee7d3b55081be5ad5
- 41df3b66ebcfb6e4d4d581d678299041
- faa9dec02bad43b1af68a4194dea8762
