SOC Prime Bias: Kritisch

28 Jan. 2026 16:07
newspaper icon Google Cloud Blog

CVE-2025-8088: Verschiedene Bedrohungsakteure nutzen eine kritische WinRAR-Schwachstelle aus

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
CVE-2025-8088: Verschiedene Bedrohungsakteure nutzen eine kritische WinRAR-Schwachstelle aus
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Google Threat Intelligence Group berichtet über breite Ausnutzung der CVE-2025-8088, einer schwerwiegenden WinRAR-Pfadüberschreitungs-Sicherheitslücke. Angreifer nutzen sie, um bösartige Dateien in den Windows-Startordner zu platzieren, um Persistenz zu erlangen. Sowohl staatlich geförderte als auch finanziell motivierte Gruppen nutzen den Exploit, um RATs, Downloader und nachfolgende Payloads auszuliefern. Der Bericht teilt Indikatoren sowie Erkennungs- und Abminderungshinweise.

Untersuchung

Forscher verknüpften mehrere Akteure—UNC4895, APT44, Turla und eine Gruppe aus der VR China—mit manipulierten RAR-Archiven, die Alternate Data Streams (ADS) ausnutzen, um LNK-, HTA- oder BAT-Dateien in den Startordner abzulegen. Einige Archive enthielten LNK-Handler, die HTA oder BAT beim Anmelden starten. Beobachtete Malware-Familien umfassen NESTPACKER, POISONIVY, XWorm und AsyncRAT. Gemeinsame Infrastruktur und wiederverwendeter Exploit-Code traten in Kampagnen gegen die Ukraine und andere Regionen auf.

Abminderung

Aktualisieren Sie WinRAR auf 7.13+ und erzwingen Sie Anwendungs-Whitelist. Reduzieren Sie die ADS-Exposition, wo möglich, und überwachen Sie den Startordner auf neue LNK, HTA, BAT oder Skript-Dateien. Wenden Sie Google Safe Browsing und E-Mail-Sicherheitskontrollen an, um bösartige Archive früher zu blockieren.

Reaktion

Erkennen Sie die Erstellung von Dateien im Startpfad, die mit der RAR-Extraktion verknüpft sind, insbesondere Verknüpfungen und Skripte. Korrelation von Warnmeldungen mit bekannten Dateinamen und Hashes, Quarantäne betroffener Hosts, Bestätigung der Malware-Familie und Entfernen der Startpersistenz während der Incident Response.

„graph TB %% Klassendefinitionen classDef technique fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ccffcc classDef tool fill:#cccccc %% Knotendefinitionen tech_phishing[„<b>Technik</b> – <b>T1566.001 Spearphishing-Anhang</b><br/>Angreifer sendet gezielte E-Mail mit bösartigem RAR-Archiv“] class tech_phishing technique file_rar[„<b>Datei</b> – <b>Name</b>: bösartig.rar<br/>Enthält Täuschungs-PDF und ADS-Payload“] class file_rar file tech_user_exec[„<b>Technik</b> – <b>T1204.002 Benutzer-Ausführung</b><br/>Opfer öffnet RAR und löst Extraktion aus“] class tech_user_exec technique file_ads[„<b>Datei</b> – <b>Typ</b>: Alternate Data Stream (ADS)<br/>Payload: harmlos.pdf:bösartig.lnk“] class file_ads file tech_exploit[„<b>Technik</b> – <b>T1203 Ausnutzung für Client-Ausführung</b><br/>Verwendet CVE-2025-8088-Pfadüberschreitung zum Schreiben von .lnk“] class tech_exploit technique file_lnk[„<b>Datei</b> – <b>Name</b>: bösartig.lnk<br/>Im Windows-Startordner platziert“] class file_lnk file tech_persistence[„<b>Technik</b> – <b>T1547.009 Verknüpfungsmodifikation</b><br/>Verknüpfung im Startordner bietet Persistenz“] class tech_persistence technique tech_cmd[„<b>Technik</b> – <b>T1059.003 Befehls-Shell</b><br/>Batch- oder .cmd-Skripte laden zusätzliche Payloads herunter“] class tech_cmd technique tool_ratrat[„<b>Tool</b> – <b>Name</b>: XWorm / AsyncRAT<br/>Remote-Zugriffstrojaner“] class tool_ratrat tool tech_mshta[„<b>Technik</b> – <b>T1218.005 Mshta-Proxy-Ausführung</b><br/>HTA-Dateien werden über mshta.exe gestartet“] class tech_mshta technique file_hta[„<b>Datei</b> – <b>Name</b>: payload.hta<br/>Mit mshta ausgeführt“] class file_hta file process_mshta[„<b>Prozess</b> – <b>Name</b>: mshta.exe<br/>Führt HTA-Datei aus“] class process_mshta process %% Verbindungen, die den Angriffsablauf zeigen tech_phishing u002du002d>|liefert| file_rar file_rar u002du002d>|extrahiert durch| tech_user_exec tech_user_exec u002du002d>|erstellt| file_ads file_ads u002du002d>|verwendet von| tech_exploit tech_exploit u002du002d>|schreibt| file_lnk file_lnk u002du002d>|ermöglicht| tech_persistence tech_persistence u002du002d>|löst aus| tech_cmd tech_cmd u002du002d>|lädt herunter| tool_ratrat tech_cmd u002du002d>|droppt| file_hta tech_cmd u002du002d>|startet| tech_mshta tech_mshta u002du002d>|ausführt| file_hta file_hta u002du002d>|ausgeführt von| process_mshta process_mshta u002du002d>|ausführt| tech_mshta „

Angriffsfluss

Simulation Ausführung

Voraussetzung: Der Telemetrie- und Basislinien-Pre-Flight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und zielen darauf ab, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:
    Ein Angreifer erstellt ein bösartiges RAR-Archiv, das eine Windows-Verknüpfung (bösartig.lnk) als Alternate Data Stream enthält, der einem harmlosen PDF angehängt ist (harmlos.pdf). Der Angreifer nutzt CVE-2025-8088 aus und weiß, dass WinRAR den ADS direkt in den Zielpfad extrahiert, ohne den Streamnamen zu bereinigen. Das Archiv wird dem Opfer-Rechner zugestellt (z.B. per Phishing). Der Angreifer führt dann WinRAR im Silent-Modus aus, um die Payload direkt in den Startup-Ordner des aktuellen Benutzers zu extrahieren und so Persistenz zu erreichen.

    1. Erstellen Sie die bösartige LNK-Payload (eine Verknüpfung, die cmd.exe /c calc.exe).
    2. startet harmlos.pdf als ADS an
    3. innerhalb des RAR anhängen. Liefern Sie das RAR
    4. zum Opfer. Führen Sie die WinRAR-Extraktion

  • in das Startup-Verzeichnis aus.

    # --------------------------------------------------------------
# PowerShell-Skript zur Simulation der CVE-2025-8088 LNK-ADS-Persistenz
# --------------------------------------------------------------

# 1. Variablen
$tempDir      = "$envTEMPLNK_ADS_Test"
$pdfPath      = "$tempDirinnocuous.pdf"
$lnkPath      = "$tempDirmalicious.lnk"
$rarPath      = "$tempDirmalicious.rar"
$startupPath  = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartup"

# Sicherstellen einer sauberen Arbeitsumgebung
Remove-Item -Recurse -Force $tempDir -ErrorAction SilentlyContinue
New-Item -ItemType Directory -Path $tempDir | Out-Null

# 2. Ein Dummy-PDF erstellen (leere Datei funktioniert für ADS-Demonstration)
New-Item -ItemType File -Path $pdfPath | Out-Null

# 3. Bösartige LNK erstellen, die auf den Rechner zeigt
$ws = New-Object -ComObject WScript.Shell
$shortcut = $ws.CreateShortcut($lnkPath)
$shortcut.TargetPath = "calc.exe"
$shortcut.WindowStyle = 1
$shortcut.Save()

# 4. PDF packen und LNK als ADS mit WinRAR CLI anhängen
#    Die Syntax erstellt einen ADS namens "malicious.lnk" am PDF angehängt.
& "C:Program FilesWinRARWinRAR.exe" a -df $rarPath $pdfPath "$lnkPath:malicious.lnk"

# 5. RAR direkt in den Startordner extrahieren (Silent-Modus)
& "C:Program FilesWinRARWinRAR.exe" x -inul $rarPath $startupPath

# 6. Überprüfen, ob die LNK jetzt im Startordner vorhanden ist (wird als reguläre .lnk sichtbar sein)
$extractedLnk = Join-Path $startupPath "malicious.lnk"
if (Test-Path $extractedLnk) {
    Write-Host "[+] Bösartige Verknüpfung im Startup bereitgestellt: $extractedLnk"
} else {
    Write-Error "[-] Verknüpfung nicht gefunden – Extraktion könnte fehlgeschlagen sein."
}

# --------------------------------------------------------------
# Ende des Skripts
# --------------------------------------------------------------

  • Bereinigungskommandos:

    # Entfernen Sie die bösartige Verknüpfung aus dem Startup
$lnk = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.lnk"
if (Test-Path $lnk) { Remove-Item -Force $lnk }

# Temporäre Dateien und Verzeichnisse löschen
$temp = "$envTEMPLNK_ADS_Test"
if (Test-Path $temp) { Remove-Item -Recurse -Force $temp }

Ende des Berichts

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten