CVE-2025-8088: Різноманітні зловмисники експлуатують критичну вразливість WinRAR
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Група загрозної розвідки Google повідомляє про широке використання вразливості CVE-2025-8088, яка представляє собою високосерйозну уразливість WinRAR для обходу шляху. Зловмисники використовують її для розміщення шкідливих файлів у папку автозавантаження Windows для отримання стійкості. Як групи, які спонсоруються державою, так і фінансово мотивовані групи використовують цю експлуатацію для доставки RAT, завантажувачів та подальших захищених навантажень. У звіті надано індикатори, а також керівництво щодо виявлення та пом’якшення наслідків.
Розслідування
Дослідники пов’язали кілька акторів — UNC4895, APT44, Turla, а також групу з КНР — з архівами RAR, що застосовують альтернативні потоки даних (ADS) для розміщення файлів LNK, HTA або BAT у папку автозавантаження. Деякі архіви містили керуючі файли LNK, які запускають HTA або BAT під час входу в систему. Набори шкідливих програм, які спостерігалися, включають NESTPACKER, POISONIVY, XWorm і AsyncRAT. Спільна інфраструктура та повторно використаний код експлойта з’явилися в кампаніях, спрямованих на Україну та інші регіони.
Пом’якшення
Оновіть WinRAR до версії 7.13+ та змусьте список дозволених додатків. Зменште вплив ADS, де це можливо, та контролюйте папку автозавантаження на наявність нових файлів LNK, HTA, BAT або скриптів. Застосуйте контроль безпеки Google Safe Browsing та електронної пошти, щоб зупинити небезпечні архіви на ранніх етапах.
Реагування
Обмежте створення файлів шляху автозавантаження, пов’язаних з витягуванням RAR, особливо ярликів і скриптів. Корелюйте попередження з відомими іменами файлів і хешами, ставте під карантин уражені хости, підтверджуйте тип шкідливого ПЗ та усувайте стійкість до автозавантаження під час реагування на інциденти.
Потік атаки
Виявлення
Підозрілі витягнуті файли із архіву (через file_event)
Перегляд
Підозрілі двійкові файли/скрипти у місці автозавантаження (через file_event)
Перегляд
Можлива спроба експлуатації CVE-2025-8088 / CVE-2025-6218 (уразливість WinRAR) (через file_event)
Перегляд
ІОС (HashSha256) для виявлення: Різні актори загрози експлуатують критичну уразливість WinRAR CVE-2025-8088 Частина 2
Перегляд
ІОС (HashSha256) для виявлення: Різні актори загрози експлуатують критичну уразливість WinRAR CVE-2025-8088 Частина 1
Перегляд
Виявлення шкідливих файлів LNK у архівах WinRAR для стійкості [Подія Windows File Event]
Перегляд
Виявлення шкідливого файлу LNK в архіві WinRAR, що використовує CVE-2025-8088 [Подія Windows File Event]
Перегляд
Виконання імітації
Попередня умова: Телеметрія та перевірка передпольотної бази повинні бути успішними.
Мотив: Цей розділ описує точне виконання техніки супротивника (TTP), розробленої для активації правила виявлення. Команди та наратив повинні прямо відображати виявлені TTP та націлені на генерування точних даних телеметрії, очікуваної логікою виявлення.
-
Наратив атаки та команди:
Зловмисник створює шкідливий архів RAR, який містить ярлик Windows (shkidliviy.lnk) як альтернативний потік даних, прикріплений до нешкідливого на вигляд PDF (незазначений.pdf). Використовуючи CVE‑2025‑8088, зловмисник знає, що WinRAR розпакує ADS безпосередньо в цільовий шлях, не обробляючи ім’я потоку. Архів доставляється до машини жертви (наприклад, через фішинг). Потім зловмисник запускає WinRAR в тихому режимі, щоб витягти корисне навантаження прямо в папку автозавантаження поточного користувача, досягаючи стійкості.- Створити шкідливе завантаження LNK (ярлик, який запускає
cmd.exe /c calc.exe). - Прикрепіть LNK як ADS до
незазначений.pdfвсередині RAR. - Доставити RAR жертві.
- Виконати витяг WinRAR до каталогу автозавантаження.
- Створити шкідливе завантаження LNK (ярлик, який запускає
-
Сценарій регресійного тесту:
# -------------------------------------------------------------- # Сценарій PowerShell для імітації стійкого LNK-ADS під CVE-2025-8088 # -------------------------------------------------------------- # 1. Перемінні $tempDir = "$env:TEMPLNK_ADS_Test" $pdfPath = "$tempDirinnocuous.pdf" $lnkPath = "$tempDirmalicious.lnk" $rarPath = "$tempDirmalicious.rar" $startupPath = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup" # Забезпечити чисте робоче середовище Remove-Item -Recurse -Force $tempDir -ErrorAction SilentlyContinue New-Item -ItemType Directory -Path $tempDir | Out-Null # 2. Створити фіктивний PDF (порожній файл працює для демонстрації ADS) New-Item -ItemType File -Path $pdfPath | Out-Null # 3. Створити шкідливий LNK, який показує на калькулятор $ws = New-Object -ComObject WScript.Shell $shortcut = $ws.CreateShortcut($lnkPath) $shortcut.TargetPath = "calc.exe" $shortcut.WindowStyle = 1 $shortcut.Save() # 4. Упакуйте PDF і прикріпіть LNK як ADS за допомогою WinRAR CLI # Синтаксис створює ADS з назвою "malicious.lnk", прикріпленою до PDF. & "C:Program FilesWinRARWinRAR.exe" a -df $rarPath $pdfPath "$lnkPath:malicious.lnk" # 5. Витягніть RAR безпосередньо в папку автозавантаження (тихий режим) & "C:Program FilesWinRARWinRAR.exe" x -inul $rarPath $startupPath # 6. Перевірте, що LNK тепер є в автозавантаженні (буде видно як звичайний .lnk) $extractedLnk = Join-Path $startupPath "malicious.lnk" if (Test-Path $extractedLnk) { Write-Host "[+] Зловмисний ярлик розгорнуто до автозавантаження: $extractedLnk" } else { Write-Error "[-] Ярлик не знайдено – витяг, можливо, провалився." } # -------------------------------------------------------------- # Кінець сценарію # -------------------------------------------------------------- -
Команди очищення:
# Видалити шкідливий ярлик з автозавантаження $lnk = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.lnk" if (Test-Path $lnk) { Remove-Item -Force $lnk } # Видалити тимчасові файли та каталоги $temp = "$env:TEMPLNK_ADS_Test" if (Test-Path $temp) { Remove-Item -Recurse -Force $temp }
Кінець звіту