SOC Prime Bias: Critique

28 Jan 2026 16:07
newspaper icon Blog de Google Cloud

CVE-2025-8088 : Divers Acteurs Malveillants Exploitent une Faille Critique de WinRAR

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
CVE-2025-8088 : Divers Acteurs Malveillants Exploitent une Faille Critique de WinRAR
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Résumé

Le Google Threat Intelligence Group signale une exploitation large du CVE-2025-8088, une vulnérabilité de traversée de chemin de haute gravité dans WinRAR. Les adversaires l’utilisent pour placer des fichiers malveillants dans le dossier de démarrage de Windows afin de persister. Les groupes parrainés par des états aussi bien que ceux motivés financièrement exploitent cette vulnérabilité pour livrer des RATs, des téléchargeurs et des charges utiles de suivi. Le rapport partage des indicateurs ainsi que des conseils pour la détection et l’atténuation.

Enquête

Les chercheurs ont lié plusieurs acteurs—UNC4895, APT44, Turla, et un groupe basé en RPC—à des archives RAR conçues pour abuser des flux de données alternatifs (ADS) pour déposer des fichiers LNK, HTA, ou BAT dans le démarrage. Certaines archives avaient des gestionnaires LNK qui lançaient HTA ou BAT à la connexion. Les familles de malwares observées incluent NESTPACKER, POISONIVY, XWorm, et AsyncRAT. Des infrastructures partagées et des codes d’exploitation réutilisés apparaissent dans des campagnes ciblant l’Ukraine et d’autres régions.

Atténuation

Mettez à jour WinRAR vers la version 7.13+ et appliquez des listes d’applications autorisées. Réduisez l’exposition aux ADS autant que possible et surveillez le dossier de démarrage pour de nouveaux fichiers LNK, HTA, BAT, ou scripts. Appliquez les contrôles de navigation sécurisée de Google et de sécurité des courriels pour bloquer les archives malveillantes plus tôt.

Réponse

Détectez la création de fichiers dans le chemin de démarrage liée à l’extraction RAR, notamment les raccourcis et les scripts. Corrélez les alertes avec des noms de fichiers et des hashes connus, mettez en quarantaine les hôtes affectés, confirmez la famille de malwares, et supprimez la persistance de démarrage lors de la réponse à l’incident.

« graph TB %% Class definitions classDef technique fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ccffcc classDef tool fill:#cccccc %% Node definitions tech_phishing[« <b>Technique</b> – <b>T1566.001 Pièce Jointe de Spearphishing</b><br/>L’adversaire envoie un courriel ciblé avec une archive RAR malveillante »] class tech_phishing technique file_rar[« <b>Fichier</b> – <b>Nom</b>: malicious.rar<br/>Contient un PDF de leurre et une charge utile ADS »] class file_rar file tech_user_exec[« <b>Technique</b> – <b>T1204.002 Exécution par l’Utilisateur</b><br/>La victime ouvre le RAR provoquant l’extraction »] class tech_user_exec technique file_ads[« <b>Fichier</b> – <b>Type</b>: Flux de Données Alternatif (ADS)<br/>Charge utile: innocuous.pdf:malicious.lnk »] class file_ads file tech_exploit[« <b>Technique</b> – <b>T1203 Exploitation pour l’Exécution Côté Client</b><br/>Utilise la traversée de chemin CVE-2025-8088 pour écrire .lnk »] class tech_exploit technique file_lnk[« <b>Fichier</b> – <b>Nom</b>: malicious.lnk<br/>Placée dans le dossier de démarrage de Windows »] class file_lnk file tech_persistence[« <b>Technique</b> – <b>T1547.009 Modification de Raccourcis</b><br/>Le raccourci dans le démarrage fournit la persistance »] class tech_persistence technique tech_cmd[« <b>Technique</b> – <b>T1059.003 Shell de Commande</b><br/>Scripts Batch ou .cmd téléchargent des charges utiles additionnelles »] class tech_cmd technique tool_ratrat[« <b>Outil</b> – <b>Nom</b>: XWorm / AsyncRAT<br/>Cheval de Troie d’accès à distance »] class tool_ratrat tool tech_mshta[« <b>Technique</b> – <b>T1218.005 Exécution par Proxy Mshta</b><br/>Fichiers HTA lancés via mshta.exe »] class tech_mshta technique file_hta[« <b>Fichier</b> – <b>Nom</b>: payload.hta<br/>Exécuté avec mshta »] class file_hta file process_mshta[« <b>Processus</b> – <b>Nom</b>: mshta.exe<br/>Exécute le fichier HTA »] class process_mshta process %% Connections showing attack flow tech_phishing u002du002d>|livre| file_rar file_rar u002du002d>|extrait par| tech_user_exec tech_user_exec u002du002d>|crée| file_ads file_ads u002du002d>|utilisé par| tech_exploit tech_exploit u002du002d>|écrit| file_lnk file_lnk u002du002d>|active| tech_persistence tech_persistence u002du002d>|déclenche| tech_cmd tech_cmd u002du002d>|télécharge| tool_ratrat tech_cmd u002du002d>|dépose| file_hta tech_cmd u002du002d>|lance| tech_mshta tech_mshta u002du002d>|exécute| file_hta file_hta u002du002d>|exécuté par| process_mshta process_mshta u002du002d>|exécute| tech_mshta « 

Flux d’Attaque

Exécution de Simulation

Pré-requis : La vérification préliminaire de télémétrie et de baseline doit avoir été réussie.

Rationnel : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le synopsis DOIVENT refléter directement les TTPs identifiés et visent à générer la télémétrie exacte attendue par la logique de détection.

  • Narratif de l’Attaque & Commandes :
    Un attaquant prépare une archive RAR malveillante qui intègre un raccourci Windows (malicious.lnk) comme un Flux de Données Alternatif attaché à un PDF ayant l’apparence d’un leurre (innocuous.pdf). En utilisant le CVE-2025-8088, l’attaquant sait que WinRAR extraira l’ADS directement dans le chemin cible sans assainir le nom du flux. L’archive est livrée à la machine de la victime (par exemple, via phishing). L’attaquant exécute ensuite WinRAR en mode silencieux pour extraire la charge utile directement dans le dossier de démarrage de l’utilisateur actuel, obtenant ainsi la persistance.

    1. Créer la charge utile LNK malveillante (un raccourci qui lance cmd.exe /c calc.exe).
    2. Attachez le LNK en tant que ADS à innocuous.pdf à l’intérieur du RAR.
    3. Livrez le RAR à la victime.
    4. Exécutez l’extraction WinRAR dans le répertoire de Démarrage.

  • Script de Test de Régression :

    # --------------------------------------------------------------
# Script PowerShell pour simuler la persistance LNK‑ADS du CVE-2025-8088
# --------------------------------------------------------------

# 1. Variables
$tempDir      = "$envTEMPLNK_ADS_Test"
$pdfPath      = "$tempDirinnocuous.pdf"
$lnkPath      = "$tempDirmalicious.lnk"
$rarPath      = "$tempDirmalicious.rar"
$startupPath  = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartup"

# Assurez un espace propre
Remove-Item -Recurse -Force $tempDir -ErrorAction SilentlyContinue
New-Item -ItemType Directory -Path $tempDir | Out-Null

# 2. Créez un faux PDF (un fichier vide fonctionne pour la démonstration ADS)
New-Item -ItemType File -Path $pdfPath | Out-Null

# 3. Créez un LNK malveillant pointant vers la calculatrice
$ws = New-Object -ComObject WScript.Shell
$shortcut = $ws.CreateShortcut($lnkPath)
$shortcut.TargetPath = "calc.exe"
$shortcut.WindowStyle = 1
$shortcut.Save()

# 4. Emballez le PDF et attachez le LNK en tant que ADS à l'aide de WinRAR CLI
#    La syntaxe crée un ADS nommé "malicious.lnk" attaché au PDF.
& "C:Program FilesWinRARWinRAR.exe" a -df $rarPath $pdfPath "$lnkPath:malicious.lnk"

# 5. Extrayez directement le RAR dans le dossier de démarrage (mode silencieux)
& "C:Program FilesWinRARWinRAR.exe" x -inul $rarPath $startupPath

# 6. Vérifiez que le LNK existe maintenant dans Démarrage (sera visible comme un .lnk normal)
$extractedLnk = Join-Path $startupPath "malicious.lnk"
if (Test-Path $extractedLnk) {
    Write-Host "[+] Raccourci malveillant déployé dans Démarrage : $extractedLnk"
} else {
    Write-Error "[-] Raccourci non trouvé – l'extraction a peut-être échoué."
}

# --------------------------------------------------------------
# Fin du script
# --------------------------------------------------------------

  • Commandes de Nettoyage :

    # Supprimez le raccourci malveillant de Démarrage
$lnk = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.lnk"
if (Test-Path $lnk) { Remove-Item -Force $lnk }

# Supprimez les fichiers et répertoires temporaires
$temp = "$envTEMPLNK_ADS_Test"
if (Test-Path $temp) { Remove-Item -Recurse -Force $temp }

Fin du Rapport

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement