Две российские группы APT используют уязвимость WinRAR, исправленную почти год назад, чтобы атаковать Украину.

      TL;DRДве группы, связанные с ФСБ, используют уязвимость WinRAR, исправленную в июле 2025 года, для кражи учетных данных Украины. Патч существует, но его внедрение идет медленно.

      Две группы хакеров, связанные с российским государством, активно используют уязвимость обхода пути в WinRAR, которая была исправлена почти год назад, используя ее для развертывания вредоносного ПО для кражи учетных данных против украинских государственных и военных целей, согласно исследованию, опубликованному компанией Trend Micro. Уязвимость, отслеживаемая как CVE-2025-8088 и оцененная в 8.4 по шкале CVSS, позволяет злоумышленникам злоупотреблять альтернативными потоками данных NTFS, чтобы скрыть вредоносные нагрузки внутри архивных файлов, которые выглядят безобидными для получателя. Патч был выпущен в WinRAR 7.13 30 июля 2025 года, но активная эксплуатация началась как минимум за 12 дней до этого, и обе группы все еще используют его, поскольку WinRAR остается глубоко встроенным в украинские организации, а внедрение обновлений идет медленно.

      Gamaredon, группа, связанная с ФСБ, которую Trend Micro отслеживает как Earth Dahu, использует уязвимость в качестве точки входа для многоступенчатой цепочки заражения. Атака начинается с целевого фишинга по электронной почте, содержащей вооруженный RAR-архив, который использует CVE-2025-8088 для загрузки файла HTA, который выполняет загрузчик VBScript под названием GammaPhish. Этот загрузчик загружает GammaLoad, бэкдор, который устанавливает постоянство и загружает GammaSteel, основной инструмент группы для эксфильтрации документов и скриншотов с скомпрометированных машин.

      SHADOW-EARTH-066, которую CERT Украины отслеживает как UAC-0226, независимо пришла к той же уязвимости WinRAR, но развертывает другое вредоносное ПО. Группа ранее полагалась на вредоносные макросы Excel для доставки своих нагрузок, но перешла на цепочки эксплуатации WinRAR после того, как уязвимость стала доступна, что является тактическим обновлением, которое обходит блокировку макросов Microsoft по умолчанию. Ее нагрузка - GIFTEDCROOK, кража информации, которая нацелена на сохраненные пароли и куки сессий из Chrome, Edge, Opera и Firefox, а также на документы, хранящиеся на скомпрометированной системе.

      Слияние двух отдельных российских групп APT на одной уязвимости примечательно, поскольку Gamaredon и SHADOW-EARTH-066 используют разные цепочки инструментов и, похоже, служат различным целям сбора разведывательной информации, однако обе группы определили CVE-2025-8088 как самый эффективный способ достижения украинских целей. Исследователи Trend Micro Хироюки Какару и Фейк Хаккеборд задокументировали кампании в совместном анализе. Sekoia, французская компания по анализу угроз, независимо подтвердила цепочку Gamaredon и отметила, что нацеливание группы оставалось сосредоточенным на украинских военных, правоохранительных органах и государственных учреждениях на протяжении всей кампании.

      Значительное операционное изменение сопровождает кампании эксплуатации. Gamaredon исторически использовала боты и каналы Telegram для передачи украденных данных обратно своим операторам, но группа с начала 2026 года мигрировала эксфильтрацию на выделенные серверы командования и управления. Это совпадает с решением России ограничить трафик Telegram, начиная с 10 февраля 2026 года, что было подтверждено CNN и Amnesty International и нарушило надежность платформы внутри России, сделав ее менее надежным каналом для скрытой передачи данных.

      RomCom, отдельная русскоязычная группа APT, была первым угрозой, которая вооружила CVE-2025-8088, используя ее до того, как WinRAR выпустил патч. Тот факт, что как минимум три отдельные группы теперь построили цепочки эксплуатации вокруг одной и той же уязвимости, подчеркивает структурную проблему: разрыв между тем, когда патчи становятся доступными, и тем, когда организации фактически их развертывают, дает злоумышленникам окно, которое может длиться месяцами или дольше. WinRAR не обновляется автоматически в большинстве корпоративных конфигураций, а украинские организации, работающие в условиях войны, сталкиваются с дополнительными барьерами для рутинного обслуживания программного обеспечения.

      Кампании являются частью более широкой схемы киберопераций, спонсируемых российским государством, нацеленных на европейскую и украинскую инфраструктуру, которые усилились с момента полномасштабного вторжения в 2022 году. Нацеливание GIFTEDCROOK на учетные данные браузера особенно опасно, поскольку сохраненные пароли и куки сессий могут дать злоумышленникам доступ к учетным записям электронной почты, внутренним порталам и коммуникационным платформам без необходимости взламывать дополнительную аутентификацию. Trend Micro отметила, что украденные данные браузера часто предоставляют возможности для бокового перемещения, которые выходят далеко за пределы первоначально скомпрометированной машины.

      Для организаций, которые все еще используют WinRAR 7.12 или более ранние версии, решение состоит в том, чтобы обновиться до версии 7.13 или более поздней, которая доступна с июля 2025 года. Тот факт, что патч существует почти год, в то время как эксплуатация продолжается, является основной проблемой. Администраторы, которые не могут обновить сразу, должны относиться к входящим RAR-файлам с той же подозрительностью, которая сейчас применяется к другим архивным форматам, которые были использованы в недавних атаках на сетевом крае, и рассмотреть возможность блокировки альтернативных потоков данных NTFS на почтовом шлюзе, где это возможно.