CVE-2025-8088: Diversi Attori Malintenzionati Sfruttano una Critica Vulnerabilità di WinRAR
Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Il Google Threat Intelligence Group segnala un’ampia esplorazione del CVE-2025-8088, un difetto di attraversamento percorso di WinRAR di alta gravità. Gli avversari lo utilizzano per posizionare file malevoli nella cartella di avvio di Windows per ottenere persistenza. Sia i gruppi supportati dallo stato che quelli a scopo di lucro stanno sfruttando l’exploit per distribuire RAT, downloader e payload successivi. Il rapporto condivide indicatori oltre a suggerimenti per la rilevazione e mitigazione.
Indagine
I ricercatori hanno legato diversi attori—UNC4895, APT44, Turla e un gruppo basato nella RPC—a archivi RAR creati per abusare degli Alternate Data Streams (ADS) per rilasciare file LNK, HTA o BAT in avvio. Alcuni archivi hanno inscenato gestori LNK che lanciano HTA o BAT al login. Le famiglie di malware osservate includono NESTPACKER, POISONIVY, XWorm e AsyncRAT. Infrastruttura condivisa e riutilizzo di codice exploit sono apparsi in campagne mirate all’Ucraina e ad altre regioni.
Mitigazione
Aggiornare WinRAR alla versione 7.13+ e applicare liste di permessi per le applicazioni. Ridurre l’esposizione degli ADS dove possibile e monitorare la cartella di avvio per nuovi file LNK, HTA, BAT, o script. Applicare Google Safe Browsing e controlli di sicurezza email per bloccare archivi malevoli precocemente.
Risposta
Rilevare la creazione di file nel percorso di avvio legata all’estrazione RAR, in particolare collegamenti e script. Correlare gli avvisi con nomi di file e hash noti, mettere in quarantena gli host affetti, confermare la famiglia di malware e rimuovere la persistenza di avvio durante la risposta all’incidente.
u0026quot;graph TBn%% Class definitionsnclassDef technique fill:#99ccffnclassDef file fill:#ffcc99nclassDef process fill:#ccffccnclassDef tool fill:#ccccccnn%% Node definitionsntech_phishing[u0026quot;u0026lt;bu0026gt;Techniqueu0026lt;/bu0026gt; – u0026lt;bu0026gt;T1566.001 Spearphishing Attachmentu0026lt;/bu0026gt;u0026lt;br/u0026gt;Adversary sends targeted email with malicious RAR archiveu0026quot;]nclass tech_phishing techniquennfile_rar[u0026quot;u0026lt;bu0026gt;Fileu0026lt;/bu0026gt; – u0026lt;bu0026gt;Nameu0026lt;/bu0026gt;: malicious.raru0026lt;br/u0026gt;Contains decoy PDF and ADS payloadu0026quot;]nclass file_rar filenntech_user_exec[u0026quot;u0026lt;bu0026gt;Techniqueu0026lt;/bu0026gt; – u0026lt;bu0026gt;T1204.002 User Executionu0026lt;/bu0026gt;u0026lt;br/u0026gt;Victim opens RAR causing extractionu0026quot;]nclass tech_user_exec techniquennfile_ads[u0026quot;u0026lt;bu0026gt;Fileu0026lt;/bu0026gt; – u0026lt;bu0026gt;Typeu0026lt;/bu0026gt;: Alternate Data Stream (ADS)u0026lt;br/u0026gt;Payload: innocuous.pdf:malicious.lnku0026quot;]nclass file_ads filenntech_exploit[u0026quot;u0026lt;bu0026gt;Techniqueu0026lt;/bu0026gt; – u0026lt;bu0026gt;T1203 Exploitation for Client Executionu0026lt;/bu0026gt;u0026lt;br/u0026gt;Uses CVE-2025-8088 path traversal to write .lnku0026quot;]nclass tech_exploit techniquennfile_lnk[u0026quot;u0026lt;bu0026gt;Fileu0026lt;/bu0026gt; – u0026lt;bu0026gt;Nameu0026lt;/bu0026gt;: malicious.lnku0026lt;br/u0026gt;Placed in Windows Startup folderu0026quot;]nclass file_lnk filenntech_persistence[u0026quot;u0026lt;bu0026gt;Techniqueu0026lt;/bu0026gt; – u0026lt;bu0026gt;T1547.009 Shortcut Modificationu0026lt;/bu0026gt;u0026lt;br/u0026gt;Shortcut in Startup provides persistenceu0026quot;]nclass tech_persistence techniquenntech_cmd[u0026quot;u0026lt;bu0026gt;Techniqueu0026lt;/bu0026gt; – u0026lt;bu0026gt;T1059.003 Command Shellu0026lt;/bu0026gt;u0026lt;br/u0026gt;Batch or .cmd scripts download additional payloadsu0026quot;]nclass tech_cmd techniquenntool_ratrat[u0026quot;u0026lt;bu0026gt;Toolu0026lt;/bu0026gt; – u0026lt;bu0026gt;Nameu0026lt;/bu0026gt;: XWorm / AsyncRATu0026lt;br/u0026gt;Remote access trojanu0026quot;]nclass tool_ratrat toolnntech_mshta[u0026quot;u0026lt;bu0026gt;Techniqueu0026lt;/bu0026gt; – u0026lt;bu0026gt;T1218.005 Mshta Proxy Executionu0026lt;/bu0026gt;u0026lt;br/u0026gt;HTA files launched via mshta.exeu0026quot;]nclass tech_mshta techniquennfile_hta[u0026quot;u0026lt;bu0026gt;Fileu0026lt;/bu0026gt; – u0026lt;bu0026gt;Nameu0026lt;/bu0026gt;: payload.htau0026lt;br/u0026gt;Executed with mshtau0026quot;]nclass file_hta filennprocess_mshta[u0026quot;u0026lt;bu0026gt;Processu0026lt;/bu0026gt; – u0026lt;bu0026gt;Nameu0026lt;/bu0026gt;: mshta.exeu0026lt;br/u0026gt;Executes HTA fileu0026quot;]nclass process_mshta processnn%% Connections showing attack flowntech_phishing u002du002du0026gt;|delivers| file_rarnfile_rar u002du002du0026gt;|extracted by| tech_user_execntech_user_exec u002du002du0026gt;|creates| file_adsnfile_ads u002du002du0026gt;|used by| tech_exploitntech_exploit u002du002du0026gt;|writes| file_lnknfile_lnk u002du002du0026gt;|enables| tech_persistencentech_persistence u002du002du0026gt;|triggers| tech_cmdntech_cmd u002du002du0026gt;|downloads| tool_ratratntech_cmd u002du002du0026gt;|drops| file_htantech_cmd u002du002du0026gt;|launches| tech_mshtantech_mshta u002du002du0026gt;|executes| file_htanfile_hta u002du002du0026gt;|run by| process_mshtanprocess_mshta u002du002du0026gt;|executes| tech_mshtanu0026quot;
Flusso di Attacco
Rilevamenti
File estratti sospetti da un archivio (tramite file_event)
Visualizza
Binarie / Script Sospetti in Locazione di Avvio Automatico (tramite file_event)
Visualizza
Possibile tentativo di sfruttamento CVE-2025-8088 / CVE-2025-6218 (Vulnerabilità WinRAR) (tramite file_event)
Visualizza
IOCs (HashSha256) per rilevare: Attori di Minacce Varie che Sfruttano la Vulnerabilità Critica di WinRAR CVE-2025-8088 Parte 2
Visualizza
IOCs (HashSha256) per rilevare: Attori di Minacce Varie che Sfruttano la Vulnerabilità Critica di WinRAR CVE-2025-8088 Parte 1
Visualizza
Rilevazione di File LNK malevoli negli Archivi WinRAR per la Persistenza [Windows Evento di File]
Visualizza
Rilevazione di File LNK malevoli nell’Archivio WinRAR che Sfrutta il CVE-2025-8088 [Windows Evento di File]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Preliminare di Telemetria & Baseline deve essere stato superato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per innescare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa dell’Attacco & Comandi:
Un attaccante crea un archivio RAR malevolo che incorpora un collegamento Windows (malicious.lnk) come un flusso di dati alternativo attaccato a un PDF dall’aspetto innocuo (innocuous.pdf). Sfruttando CVE‑2025‑8088, l’attaccante sa che WinRAR estrarrà direttamente il ADS nel percorso di destinazione senza sanificare il nome del flusso. L’archivio viene consegnato alla macchina vittima (ad esempio, tramite phishing). L’attaccante poi esegue WinRAR in modalità silenziosa per estrarre il payload direttamente nella cartella di avvio dell’utente corrente, ottenendo persistenza.- Creare il payload LNK malevolo (un collegamento che lancia
cmd.exe /c calc.exe). - Allega il LNK come un ADS a
innocuous.pdfall’interno del RAR. - Consegna il RAR alla vittima.
- Esegui l’estrazione di WinRAR nella directory di avvio.
- Creare il payload LNK malevolo (un collegamento che lancia
-
Script di Test di Regressione:
# -------------------------------------------------------------- # Script PowerShell per simulare la persistenza LNK-ADS CVE‑2025‑8088 # -------------------------------------------------------------- # 1. Variabili $tempDir = "$envTEMPLNK_ADS_Test" $pdfPath = "$tempDirinnocuous.pdf" $lnkPath = "$tempDirmalicious.lnk" $rarPath = "$tempDirmalicious.rar" $startupPath = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartup" # Assicurare spazio di lavoro pulito Remove-Item -Recurse -Force $tempDir -ErrorAction SilentlyContinue New-Item -ItemType Directory -Path $tempDir | Out-Null # 2. Crea un PDF dummy (file vuoto funziona per la dimostrazione ADS) New-Item -ItemType File -Path $pdfPath | Out-Null # 3. Crea collegamento malevolo LNK puntando a calcolatrice $ws = New-Object -ComObject WScript.Shell $shortcut = $ws.CreateShortcut($lnkPath) $shortcut.TargetPath = "calc.exe" $shortcut.WindowStyle = 1 $shortcut.Save() # 4. Imballa PDF e allega LNK come ADS usando CLI WinRAR # La sintassi crea un ADS chiamato "malicious.lnk" allegato al PDF. & "C:Program FilesWinRARWinRAR.exe" a -df $rarPath $pdfPath "$lnkPath:malicious.lnk" # 5. Estrarre RAR direttamente nella cartella di avvio (modalità silenziosa) & "C:Program FilesWinRARWinRAR.exe" x -inul $rarPath $startupPath # 6. Verificare che il LNK ora esista in avvio (sarà visibile come un normale .lnk) $extractedLnk = Join-Path $startupPath "malicious.lnk" if (Test-Path $extractedLnk) { Write-Host "[+] Collegamento malevolo distribuito in Avvio: $extractedLnk" } else { Write-Error "[-] Collegamento non trovato – l'estrazione potrebbe aver fallito." } # -------------------------------------------------------------- # Fine dello script # -------------------------------------------------------------- -
Comandi di Pulizia:
# Rimuovere il collegamento malevolo da Avvio $lnk = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.lnk" if (Test-Path $lnk) { Remove-Item -Force $lnk } # Elimina file e directory temporanee $temp = "$envTEMPLNK_ADS_Test" if (Test-Path $temp) { Remove-Item -Recurse -Force $temp }
Fine del Rapporto