В сфере информационной безопасности вновь подтверждается правило: устаревшее программное обеспечение - это открытая дверь для злоумышленников. Активная киберпреступная кампания, нацеленная на пользователей в Турции и Германии, демонстрирует, как эксплойт для давно известной уязвимости в популярном архиваторе превращается в инструмент для развёртывания мощной шпионской платформы. Атака начинается с безобидного на вид RAR-архива и заканчивается полным контролем над системой жертвы через Telegram-бота.
Описание
Основой для атаки послужила уязвимость CVE-2025-8088 в WinRAR, связанная с некорректной обработкой альтернативных потоков данных NTFS (Alternate Data Streams, ADS) и обходом пути (path traversal). Используя эту уязвимость, злоумышленники могут скрытно записывать исполняемые файлы в произвольные места файловой системы при распаковке архива, минуя ожидания пользователя. В данном случае жертве подсовывается архив "fiyat teklifi.rar" ("прайс-предложение" на турецком), внутри которого находится документ PDF для отвода глаз и 30 скрытых вредоносных записей ADS. Эти записи гарантированно записывают в автозагрузку Windows (папку Startup) загрузчик под названием "Updater.exe", независимо от того, в какую директорию пользователь распаковал архив.
Этот компактный .NET-загрузчик, в свою очередь, скачивает с управляемого сервера на платформе Google Cloud (IP-адрес 34[.]69[.]246[.]76) основную полезную нагрузку - файл "WindowsServices.exe" размером 76 МБ. Аналитики отметили, что сервер открыто отвечает на HTTP-запросы текстом "OK - use /data/WindowsServices.exe", что свидетельствует о низкой операционной безопасности злоумышленника. Второй этап атаки представляет собой сложного Python-бота, упакованного с помощью PyInstaller. После запуска этот бот устанавливает связь с Telegram через бота @Roberta3358_bot, получая злоумышленнику полный удалённый доступ к машине жертвы.
Функционал этого вредоносного ПО впечатляет своей всеохватностью и соответствует техникам продвинутого постоянного угрозы (APT). Бот способен вести кейлоггинг (перехват нажатий клавиш), делать скриншоты и записывать видео с экрана, захватывать изображение с веб-камеры и звук с микрофона. Он ворует данные браузеров - историю, куки-файлы, пароли и закладки. Также реализован менеджер файлов для изучения содержимого дисков и их выгрузки на FTP-сервер, развёрнутый на том же самом инфицированном сервере в Google Cloud. Дополнительные функции включают управление процессами, сбор системной информации, сканирование сети, мониторинг USB-устройств и буфера обмена, блокировку ввода данных пользователем и даже удалённое выполнение команд через командную строку.
Для управления несколькими заражёнными машинами одновременно злоумышленник реализовал систему "выбора ведущего" (leader election). Специальный API на сервере управления гарантирует, что только одна инфицированная система в определённый момент времени опрашивает Telegram-бота за командами, предотвращая конфликты. На момент исследования была идентифицирована одна активная жертва - пользователь Windows 11 из Стамбула с турецким интернет-провайдером TurkNet.
Языковые особенности кода - комментарии и строки документации на турецком - прямо указывают на то, что разработчик является носителем этого языка. Мотивация, вероятно, финансовая или связанная со слежкой, однако низкая операционная безопасность злоумышленника бросается в глаза. Криптографические ключи, FTP- и Telegram-токены захардкожены в коде, весь трафик идёт по незашифрованному HTTP, а для командного центра используется "голый" IP-адрес без доменного имени, что упрощает его блокировку. Интересно, что эта турецкая кампания отличается от другой активной волны эксплуатации той же уязвимости CVE-2025-8088, которая нацелена на Украину и использует архивы с тематикой военных документов.
Данный инцидент служит суровым напоминанием для организаций, особенно тех, что ведут бизнес в регионах, где популярен WinRAR. Уязвимость CVE-2025-8088 была исправлена разработчиками, и её эксплуатация возможна только на непропатченных версиях программы. Основной вектор атаки - фишинговая рассылка с вложенным архивом, что требует от пользователей повышенной бдительности. Специалистам по безопасности рекомендуется незамедлительно проверить и обновить WinRAR на всех конечных точках, внести указанные IP-адреса и хеши файлов в системы блокировки, а также настороженно относиться к подозрительным архивам, особенно поступающим под видом коммерческих предложений. Постоянный контроль автозагрузки и сетевой активности на предмет аномальных соединений с облачными платформами или Telegram также может помочь в выявлении подобных угроз на ранней стадии.
Индикаторы компрометации
MD5
- 183542d56d6bfd3604a78ad3ed7ac4e9
- 8d8a1c2f7831b0d99d5170047d3178f0
- ed029c8a13695830139de2b222827940
SHA256
- 07f2d8f3a9c9430d91620d6a8b83c20dc9d020f00b7066b3ff9bd0fec20b7c2d
- 59100fba79307120816c9733e38d85a2c9b769905f1a8177863a5b97255ca46e
- dc4268f52b742829a105c0d89498c24b2dfffd6c8a8ca99bb447b47b9661718a
- f130fafb1d81adb66184751b96b8673fbbff7118990753f97c3a1ef33ee0fd84
