Главная страница » Индикаторы компрометации
0
19 часов
Индикаторы компрометации

Обычный архиватор - необычная угроза: WinRAR стал оружием APT-группы

APT

В сфере информационной безопасности наиболее серьезные риски часто скрываются в самых обыденных инструментах. Повсеместно распространенный архиватор WinRAR, установленный на сотнях миллионов компьютеров по всему миру, недавно был использован в качестве оружия сложной группой угроз, связанной с государственными интересами. Аналитики по киберугрозам зафиксировали первую подтвержденную эксплуатацию в реальных условиях уязвимости CVE-2025-6218, связанной с обходом каталогов. Эта проблема затрагивает WinRAR версий 7.11 и ранее.

Описание

Речь идет не о теоретической угрозе, а об активной кампании, которую эксперты приписывают продвинутой постоянной угрозе (Advanced Persistent Threat, APT) APT-C-08, также известной как BITTER или Manlinghua. Эта группа традиционно ассоциируется с регионом Южной Азии. Элегантность эксплойта заключается в его простоте: небольшая ошибка реализации позволяет злоумышленникам добиться скрытого и долгосрочного закрепления в корпоративных сетях. Для организаций этот инцидент подчеркивает критическую необходимость выйти за рамки простого исправления уязвимостей и перейти к проактивной, основанной на анализе угроз модели защиты.

Цепочка атаки: от архива к макросу

Атака использует фундаментальный просмотр безопасности в том, как WinRAR обрабатывает пути к файлам при распаковке. Уязвимость обхода каталогов (CVE-2025-6218) позволяет злоумышленнику манипулировать путем внутри специально созданного RAR-архива. Когда пользователя обманом заставляют извлечь вредоносный (malicious) файл, WinRAR, будучи обманутым, помещает полезную нагрузку (payload) не в целевую папку, а в критически важное системное расположение.

Группа APT-C-08 применяет этот эксплойт для реализации крайне скрытного механизма обеспечения устойчивости (persistence). Вредоносный архив помещает файл с именем Normal.dotm в путь к глобальному шаблону Microsoft Word. Файл Normal.dotm является глобальным шаблоном, который загружается каждый раз при открытии Word. Заменив легитимный файл, атакующий гарантирует автоматическое выполнение своего вредоносного макрокода. Это создает постоянную бэкдор-дверь, которая обходит стандартную блокировку макросов для документов, полученных уже после первоначального заражения. Дальнейшая цепочка атаки включает легковесный загрузчик (winnsc.exe), который получает последующие этапы, в том числе троянскую программу на C#.

Почему эта кампания важна: технический и стратегический контекст

WinRAR остается одним из самых распространенных архивных инструментов, несмотря на известные пробелы в безопасности. В отличие от 7-Zip или встроенных инструментов Windows, он в большинстве организаций не имеет автоматических обновлений, что создает постоянную поверхность для атаки. Уязвимость CVE-2025-6218 позволяет осуществлять обход каталогов, эксплуатируя недостатки в нормализации путей. WinRAR проверяет символы перед разделителями путей ( \ или / ) и пропускает обработку, если предыдущий символ не является пробелом или точкой. Пути не могут начинаться с пробела, поэтому такой пробел преобразуется в символ подчеркивания. Критическая ошибка заключается в том, что пробелы после ".." в промежуточных сегментах пути игнорируются во время финальной очистки.

Специально созданный путь, например, содержащий последовательности с пробелами, после нормализации позволяет выйти за пределы корневой папки извлечения. В данном случае файл записывается в каталог C:\Users\[Пользователь]\AppData\Roaming\Microsoft\Templates\. Эта папка автоматически доверяется Microsoft Word. Впоследствии любой открытый файл .docx загружает подмененный Normal.dotm, что приводит к выполнению макроса без запроса пользователя.

Технический анализ и инфраструктура

Исследователи получили и верифицировали два основных образца, используя хеш-суммы. Первичный образец, архив с названием "Provision of Information for Sectoral for AJK.rar", содержал безвредный документ-приманку и вредоносный файл Normal.dotm. Вторичный тестовый образец "Weekly AI Article.rar" имел идентичную структуру, что подтверждает тестирование вариантов атаки злоумышленником. Никакой код не выполняется непосредственно при распаковке RAR-архива. Устойчивость обеспечивается, когда пользователь позднее открывает документы Word.

Анализ макросов в файле Normal.dotm выявил использование обфускации VBA и кастомного декодера Base64 для скрытия вредоносных команд. После декодирования извлекаются команды, которые, в частности, инициируют загрузку и выполнение следующего этапа атаки.

Загрузчик winnsc.exe, получаемый в ходе атаки, демонстрирует сложное поведение. Во время выполнения он осуществляет перечисление системной информации, такую как имя компьютера и пользователя. Затем загрузчик отправляет маячки (beacon) на командный сервер (Command and Control, C2) по протоколу HTTPS, используя POST-запросы. При получении ответа он декодирует и выполняет в памяти полезную нагрузку второго этапа. Также загрузчик сканирует пользовательские документы на предмет файлов определенных типов для последующей эксфильтрации, используя шифрование RC4.

Финальная полезная нагрузка в цепочке представляет собой троянскую программу на C# с функциями удаленного доступа (RAT). Ее возможности включают кейлоггинг, захват скриншотов, сбор учетных данных RDP и эксфильтрацию файлов. Для обеспечения устойчивости троянец прописывается в автозагрузку через реестр Windows, маскируясь под легитимное программное обеспечение.

Кампания также может быть классифицирована с использованием матрицы MITRE ATT&CK. Она охватывает тактики от первоначальной доставки через вредоносные архивы и выполнения через макросы до обеспечения устойчивости через инъекцию шаблонов, перемещения по сети с помощью SMB, командования и управления через HTTPS-маячки и сокрытия с помощью обфускации.

Активность группы APT-C-08 через уязвимость в WinRAR служит отрезвляющим напоминанием. Угрозы часто используют доверенное, но устаревшее программное обеспечение для проникновения в защищенные среды. Этот случай подчеркивает необходимость комплексного подхода к безопасности, который включает не только своевременное обновление ПО, но и мониторинг нестандартных векторов атаки, анализ поведения и применение принципа минимальных привилегий.

Индикаторы компрометации

Domains

  • esanojinjasvc.com
  • johnfashionarchive.com
  • koliwooclients.com
  • tapeqcqoptions.com
  • wmiapcservice.com

Malicious LNK

  • \\koliwooclients.com\templates
  • \\koliwooclients.com\templates\winnsc.exe

MD5

  • 418d73efd622ebec29759c081768db16
  • 4bedd8e2b66cc7d64b293493ef5b8942
  • 5d677781d6c7d4ddee967c1cc7e869ce
  • 84128d40db28e8ee16215877d4c4b64a
  • f16f2e4317c37085cad630d41001f7c3
  • f6f2fdc38cd61d8d9e8cd35244585967
  • f8b237ca925daa3db8699faa05007f12
Комментарии: 0
Похожие записи
0
24.06.2025
Уязвимости

Критическая уязвимость в WinRAR: удаленное выполнение кода устранено, пользователям срочно требуется обновление (CVE-2025-6218)

удаленное выполнение кода
В сфере информационной безопасности зафиксирована тревожная новость: разработчики WinRAR выпустили экстренный патч для устранения высокорисковой уязвимости, присвоенной идентификатор CVE-2025-6218.
0
25.08.2025
Безопасность

Утечка данных хакерской группы Kimsuky: украденные сертификаты, руткиты и кастомизированные инструменты северокорейских киберопераций

APT
В конце августа 2025 года в darknet-форумах появилась масштабная утечка данных, связанная с деятельностью северокорейской хакерской группы Kimsuky. Архив, содержащий виртуальные машины, дампы VPS-серверов
0
07.11.2025
Индикаторы компрометации

Группа « APT-C-08» атакует через ClickOnce-приложения: новый вектор угрозы для Южной Азии

APT
Группа APT-C-08, известная под названием «Маньлинхуа» (Bitter Lotus), активно использует файлы .application для фишинговых атак. Эта APT-группа (Advanced Persistent Threat - продвинутая постоянная угроза)