Уязвимость WinRAR CVE-2025-8088
Исследователи в области безопасности обнаружили широко распространенную эксплуатацию критической уязвимости в RARLAB WinRAR, которая теперь исправлена, со стороны различных злоумышленников. Как государственные противники, так и группы, преследующие финансовые цели, использовали эту уязвимость для получения первоначального доступа к целевым средам и развертывания широкого спектра вредоносных программ. Несмотря на то, что уязвимость была исправлена в июле 2025 года, она продолжает использоваться в различных операциях, что подчеркивает сохраняющиеся риски, связанные с неустраненным программным обеспечением.
Оглавление
CVE-2025-8088: Технический обзор и последствия
Уязвимость, отслеживаемая как CVE-2025-8088 с оценкой CVSS 8.8, была устранена в версии WinRAR 7.13, выпущенной 30 июля 2025 года. Эксплуатация позволяет выполнять произвольный код через специально созданные архивные файлы, открываемые в уязвимых версиях программного обеспечения. Первопричина — уязвимость обхода пути, которая позволяет злоумышленникам размещать файлы в важных местах, в первую очередь в папке автозагрузки Windows, обеспечивая скрытое закрепление и автоматическое выполнение при перезагрузке системы и входе пользователя в систему.
Данная техника эксплуатации отражает более широкий пробел в защите, касающийся базовой безопасности приложений и осведомленности конечных пользователей.
От атак нулевого дня до атак N-дня: эволюция атак
Уязвимость была использована в качестве уязвимости нулевого дня еще 18 июля 2025 года, в частности, группой злоумышленников с двойной мотивацией RomCom (также известной как CIGAR или UNC4895). В результате этих операций был распространен вариант вредоносного ПО SnipBot (NESTPACKER). Исследователи также связывают аналогичную активность с кластером, отслеживаемым как UNC2596, который был связан с распространением программы-вымогателя Cuba Ransomware.
После публичного раскрытия и установки исправлений уязвимость быстро превратилась в широко используемую n-дневную атаку, в ходе которой злоумышленники внедряли вредоносные файлы, часто представляющие собой полезные нагрузки в виде ярлыков Windows (LNK), скрытые в альтернативных потоках данных (ADS), внутри поддельного контента. После извлечения эти файлы помещались в заранее определенные системные пути и автоматически запускались после перезагрузки.
Операции национального государства расширяют масштабы эксплуатации
Многочисленные связанные с правительством хакерские группировки включили CVE-2025-8088 в свои активные кампании. В частности, субъекты, связанные с Россией, использовали специально разработанные приманки и дополнительные вредоносные программы для достижения как шпионских, так и деструктивных целей:
- Sandworm (также известный как APT44 или FROZENBARENTS) распространял архивы, содержащие файлы-приманки на украинскую тематику, а также вредоносные полезные нагрузки LNK, предназначенные для извлечения дополнительных компонентов.
- Gamaredon (также известный как CARPATHIAN) атаковал украинские государственные структуры, используя RAR-архивы, которые на первом этапе предоставляли загрузчики HTML-приложений (HTA).
- Компания Turla (также известная как SUMMIT) воспользовалась уязвимостью для распространения вредоносной программы STOCKSTAY, используя методы социальной инженерии, связанные с украинской военной деятельностью и использованием беспилотников.
Параллельно с этим, китайский злоумышленник использовал ту же уязвимость для установки Poison Ivy, распространяемой через пакетный скрипт, помещенный в папку автозагрузки Windows и настроенный на загрузку дополнительного загрузчика.
Кампании, мотивированные финансовыми выгодами, и целевая реклама.
Киберпреступные группировки быстро воспользовались этой уязвимостью для развертывания распространенных троянов удаленного доступа (RAT) и программ для кражи информации против коммерческих жертв. Среди обнаруженных полезных нагрузок — бэкдоры, управляемые ботами Telegram, а также семейства вредоносных программ, такие как AsyncRAT и XWorm.
В одной из примечательных кампаний группа киберпреступников, известная своими атаками на бразильских пользователей, распространила вредоносное расширение для Chrome. Это расширение внедрило JavaScript на страницы двух бразильских банковских сайтов, чтобы показывать фишинговый контент и собирать учетные данные пользователей, демонстрируя гибкость первоначального доступа, полученного с помощью эксплойта WinRAR.
Подпольные рынки и превращение эксплуатации в товар
Быстрое и широкое распространение уязвимости CVE-2025-8088, по оценкам, обусловлено процветающей подпольной экономикой эксплойтов. Сообщается, что эксплойты для WinRAR рекламировались за тысячи долларов, что снижало барьер для входа для широкого круга злоумышленников. Поставщик, работающий под псевдонимом «zeroplayer», продавал эксплойт для WinRAR за несколько недель до публичного раскрытия CVE-2025-8088.
Сохранение роли Zeroplayer как поставщика исходного кода иллюстрирует превращение жизненного цикла атаки в товар широкого потребления, где готовые решения для эксплуатации уязвимостей снижают затраты на разработку и позволяют группам с различными мотивами проводить сложные операции.
Более масштабная проблема: атакам подвергаются дополнительные уязвимости WinRAR.
Эта активность совпадает с попытками эксплуатации другой уязвимости WinRAR, CVE-2025-6218 (оценка CVSS: 7,8). Было замечено, что несколько злоумышленников, включая GOFFEE, Bitter и Gamaredon, используют эту отдельную уязвимость, что подтверждает сохраняющуюся угрозу, исходящую от n-дневных уязвимостей, и скорость, с которой злоумышленники внедряют в свою деятельность недавно обнаруженные слабые места.
Стратегические последствия для защитников
Постоянное использование исправленных уязвимостей WinRAR подчеркивает важность своевременного обновления программного обеспечения, обучения пользователей и мониторинга механизмов закрепления в системе, таких как несанкционированные файлы в каталогах автозагрузки. Сближение спонсируемой государством и криминальной эксплуатации еще раз демонстрирует, как быстро критические уязвимости становятся общими ресурсами в рамках всей системы противодействия угрозам.
