SOC Prime Bias: Kritisch

28 Jan 2026 13:07 UTC

CVE-2025-8088: Verschiedene Bedrohungsakteure nutzen eine kritische WinRAR-Schwachstelle aus

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
CVE-2025-8088: Verschiedene Bedrohungsakteure nutzen eine kritische WinRAR-Schwachstelle aus
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Google Threat Intelligence Group berichtet über breite Ausnutzung der CVE-2025-8088, einer schwerwiegenden WinRAR-Pfadüberschreitungs-Sicherheitslücke. Angreifer nutzen sie, um bösartige Dateien in den Windows-Startordner zu platzieren, um Persistenz zu erlangen. Sowohl staatlich geförderte als auch finanziell motivierte Gruppen nutzen den Exploit, um RATs, Downloader und nachfolgende Payloads auszuliefern. Der Bericht teilt Indikatoren sowie Erkennungs- und Abminderungshinweise.

Untersuchung

Forscher verknüpften mehrere Akteure—UNC4895, APT44, Turla und eine Gruppe aus der VR China—mit manipulierten RAR-Archiven, die Alternate Data Streams (ADS) ausnutzen, um LNK-, HTA- oder BAT-Dateien in den Startordner abzulegen. Einige Archive enthielten LNK-Handler, die HTA oder BAT beim Anmelden starten. Beobachtete Malware-Familien umfassen NESTPACKER, POISONIVY, XWorm und AsyncRAT. Gemeinsame Infrastruktur und wiederverwendeter Exploit-Code traten in Kampagnen gegen die Ukraine und andere Regionen auf.

Abminderung

Aktualisieren Sie WinRAR auf 7.13+ und erzwingen Sie Anwendungs-Whitelist. Reduzieren Sie die ADS-Exposition, wo möglich, und überwachen Sie den Startordner auf neue LNK, HTA, BAT oder Skript-Dateien. Wenden Sie Google Safe Browsing und E-Mail-Sicherheitskontrollen an, um bösartige Archive früher zu blockieren.

Reaktion

Erkennen Sie die Erstellung von Dateien im Startpfad, die mit der RAR-Extraktion verknüpft sind, insbesondere Verknüpfungen und Skripte. Korrelation von Warnmeldungen mit bekannten Dateinamen und Hashes, Quarantäne betroffener Hosts, Bestätigung der Malware-Familie und Entfernen der Startpersistenz während der Incident Response.

Angriffsfluss

Simulation Ausführung

Voraussetzung: Der Telemetrie- und Basislinien-Pre-Flight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und zielen darauf ab, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:
    Ein Angreifer erstellt ein bösartiges RAR-Archiv, das eine Windows-Verknüpfung (bösartig.lnk) als Alternate Data Stream enthält, der einem harmlosen PDF angehängt ist (harmlos.pdf). Der Angreifer nutzt CVE-2025-8088 aus und weiß, dass WinRAR den ADS direkt in den Zielpfad extrahiert, ohne den Streamnamen zu bereinigen. Das Archiv wird dem Opfer-Rechner zugestellt (z.B. per Phishing). Der Angreifer führt dann WinRAR im Silent-Modus aus, um die Payload direkt in den Startup-Ordner des aktuellen Benutzers zu extrahieren und so Persistenz zu erreichen.

    1. Erstellen Sie die bösartige LNK-Payload (eine Verknüpfung, die cmd.exe /c calc.exe).
    2. startet harmlos.pdf als ADS an
    3. innerhalb des RAR anhängen. Liefern Sie das RAR
    4. zum Opfer. Führen Sie die WinRAR-Extraktion
  • in das Startup-Verzeichnis aus.

    # --------------------------------------------------------------
    # PowerShell-Skript zur Simulation der CVE-2025-8088 LNK-ADS-Persistenz
    # --------------------------------------------------------------
    
    # 1. Variablen
    $tempDir      = "$envTEMPLNK_ADS_Test"
    $pdfPath      = "$tempDirinnocuous.pdf"
    $lnkPath      = "$tempDirmalicious.lnk"
    $rarPath      = "$tempDirmalicious.rar"
    $startupPath  = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartup"
    
    # Sicherstellen einer sauberen Arbeitsumgebung
    Remove-Item -Recurse -Force $tempDir -ErrorAction SilentlyContinue
    New-Item -ItemType Directory -Path $tempDir | Out-Null
    
    # 2. Ein Dummy-PDF erstellen (leere Datei funktioniert für ADS-Demonstration)
    New-Item -ItemType File -Path $pdfPath | Out-Null
    
    # 3. Bösartige LNK erstellen, die auf den Rechner zeigt
    $ws = New-Object -ComObject WScript.Shell
    $shortcut = $ws.CreateShortcut($lnkPath)
    $shortcut.TargetPath = "calc.exe"
    $shortcut.WindowStyle = 1
    $shortcut.Save()
    
    # 4. PDF packen und LNK als ADS mit WinRAR CLI anhängen
    #    Die Syntax erstellt einen ADS namens "malicious.lnk" am PDF angehängt.
    & "C:Program FilesWinRARWinRAR.exe" a -df $rarPath $pdfPath "$lnkPath:malicious.lnk"
    
    # 5. RAR direkt in den Startordner extrahieren (Silent-Modus)
    & "C:Program FilesWinRARWinRAR.exe" x -inul $rarPath $startupPath
    
    # 6. Überprüfen, ob die LNK jetzt im Startordner vorhanden ist (wird als reguläre .lnk sichtbar sein)
    $extractedLnk = Join-Path $startupPath "malicious.lnk"
    if (Test-Path $extractedLnk) {
        Write-Host "[+] Bösartige Verknüpfung im Startup bereitgestellt: $extractedLnk"
    } else {
        Write-Error "[-] Verknüpfung nicht gefunden – Extraktion könnte fehlgeschlagen sein."
    }
    
    # --------------------------------------------------------------
    # Ende des Skripts
    # --------------------------------------------------------------
  • Bereinigungskommandos:

    # Entfernen Sie die bösartige Verknüpfung aus dem Startup
    $lnk = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.lnk"
    if (Test-Path $lnk) { Remove-Item -Force $lnk }
    
    # Temporäre Dateien und Verzeichnisse löschen
    $temp = "$envTEMPLNK_ADS_Test"
    if (Test-Path $temp) { Remove-Item -Recurse -Force $temp }

Ende des Berichts