Старая дыра в WinRAR продолжает кормить русских хакеров атаками на украинские компании

Две русскоязычные хакерские группировки до сих пор эксплуатируют уязвимость CVE-2025-8088 в архиваторе WinRAR для атак на организации Украины, хотя патч вышел ещё в июле 2025 года. Об этом сообщили специалисты Trend Micro, зафиксировавшие активность SHADOW-EARTH-066 и Earth Dahu. Финальная цель операций — кража учётных данных, документов и долгосрочное закрепление в корпоративных сетях.

Уязвимость CVE-2025-8088 позволяет записывать файлы за пределами каталога распаковки через альтернативные потоки данных NTFS. Пользователь видит обычный архив, а внутри лежит механизм скрытой подброски вредоносных компонентов в произвольные места системы. Патч закрывает проблему, но обновлять архиватор большинство организаций не торопится, и атакующие пользуются этой ленью корпоративных ИТ-служб.

Хироюки Какара и Фейке Хаккеборд из Trend Micro фиксируют типичную проблему индустрии — между выходом исправления и реальной установкой обновлений проходят месяцы, а иногда и годы. Известная дыра превращается в надёжный рабочий инструмент для атакующих, потому что найти жертву с непропатченной версией оказывается проще простого.

Стоит обратить внимание, что обе группировки выбирают WinRAR не случайно — архиватор стоит почти на каждой рабочей станции и встроен в рутинные процессы обмена файлами.

Группа SHADOW-EARTH-066 раньше работала через документы Microsoft Excel с макросами, а теперь полностью перешла на RAR-архивы. Внутри лежит файл, замаскированный под PDF, а рядом — скрытые компоненты, размещённые через NTFS-потоки. Распаковка запускает многоступенчатую цепочку заражения с такими элементами:

• ярлык Windows, который попадает в папку автозагрузки и срабатывает при каждом входе пользователя;
• PowerShell-загрузчик, активируемый через командную оболочку Windows;
• финальная полезная нагрузка с похитителем данных GIFTEDCROOK;
• модуль выгрузки собранной информации на серверы атакующих;
• компоненты самоочистки для усложнения форензики.

Обновлённая версия GIFTEDCROOK тянет сохранённые пароли и cookie из браузеров на Chromium — Google Chrome, Microsoft Edge, Opera, — а также вытаскивает данные из Mozilla Firefox. Помимо учёток, программа сканирует диск на документы определённых форматов и отправляет находки на удалённую инфраструктуру операторов. После выгрузки вредонос стирает свои следы.

Инфраструктура управления у группировки эволюционировала. Раньше операторы плотно сидели на Telegram для приёма данных, теперь переезжают на собственные C2-серверы. Автономность выше, зависимость от чужих платформ ниже, блокировать такую схему сложнее.

Вторая группировка, Earth Dahu, использует ту же дыру в WinRAR минимум с сентября 2025 года для длительного присутствия в скомпрометированных сетях. Цепочка заражения другая — архив с эксплойтом запускает HTML-приложение, затем подтягиваются VBScript-сценарии, которые поэтапно догружают дополнительные модули. По данным Trend Micro, инфраструктура оставалась рабочей минимум до апреля 2026 года — это видно по внутренним временным меткам файлов и характерным признакам формирования архивов.

Уточняется, что Earth Dahu выстраивает заражение по принципу терпеливой установки нескольких слоёв доступа, а не разовой кражи данных.

Свежие подробности по этой схеме опубликовала компания Sekoia. Атака приводит к установке компонента GammaPhish, отвечающего за запуск последующих этапов. Затем подтягивается загрузчик GammaLoad — набор VBScript-сценариев для длительного удержания доступа и доставки новых модулей. Для связи с управляющими серверами применяются скрытые механизмы разрешения адресов, позволяющие менять инфраструктуру без перекомпиляции основного кода.

На финальной стадии активируется GammaSteel со следующими возможностями:

• сбор файлов с заражённой машины по заданным критериям;
• мониторинг изменений документов в реальном времени;
• мгновенная отправка обновлённых версий операторам;
• работа в фоне без видимых пользователю проявлений;
• взаимодействие с динамической C2-инфраструктурой.

Популярность WinRAR в корпоративной среде — отдельный фактор риска. Архиватор глубоко встроен в рабочие процессы, открытие RAR-файла из почты или корпоративного мессенджера воспринимается как рутина. Пользователи редко задают себе вопрос о происхождении архива, и атакующие зарабатывают на этой привычке.

Ранее сообщалось, что в проведении схожих кибератак исследователи обвиняли другую русскоязычную хакерскую группировку. По данным специалистов, злоумышленники использовали вредоносные инструменты для скрытого проникновения в сети через уязвимости популярного программного обеспечения и последующего распространения внутри инфраструктуры жертв.

Также ранее мы писали о том, что русскоязычная группа GreyVibe применяла генеративные ИИ-сервисы для подготовки фишинговых материалов и вредоносных кампаний. По данным исследователей, ChatGPT, Gemini и другие нейросетевые инструменты использовались для создания поддельных документов, сайтов и приманок, предназначенных для атак на организации, связанные с Украиной.

Атаки с эксплуатацией уязвимости CVE-2025-8088 показывают несколько вещей, о которых редакция CISOCLUB говорит постоянно. Эксперты редакции уверены, что патч-менеджмент в большинстве компаний всё ещё устроен по остаточному принципу — обновляют то, что бросается в глаза, а массовый пользовательский софт вроде архиваторов годами живёт в неизменном виде. Закрытая полгода назад уязвимость превращается в рабочий инструмент двух разных группировок, и это прямое следствие управленческих решений, а не технических ограничений.

Обновление WinRAR на парке из тысячи машин стоит дешевле одного расследования инцидента с утечкой документов. Пока компании этого не осознают, киберпреступники продолжат собирать урожай на старых дырах, не тратя ресурсы на поиск свежих эксплойтов. По мнению экспертов CISOCLUB, ситуация с WinRAR — это маркер зрелости службы информационной безопасности, а не разовый эпизод.