Вразливість CVE-2025-8088 у WinRAR
Дослідники з безпеки виявили масштабне використання виправленої критичної вразливості в RARLAB WinRAR кількома зловмисниками. Як державні супротивники, так і фінансово мотивовані групи скористалися цією вразливістю, щоб отримати початковий доступ до цільових середовищ та розгорнути широкий спектр шкідливих корисних навантажень. Незважаючи на виправлення в липні 2025 року, вразливість продовжує використовуватися в різних операціях, що підкреслює постійні ризики, пов'язані з невиправленим програмним забезпеченням.
Зміст
CVE-2025-8088: Технічний огляд та вплив
Уразливість, що відстежувалася як CVE-2025-8088 з оцінкою CVSS 8,8, була усунена у версії WinRAR 7.13, випущеній 30 липня 2025 року. Експлуатація дозволяє виконувати довільний код через спеціально створені архівні файли, відкриті у вразливих версіях програмного забезпечення. Основною причиною є недолік обходу шляху, який дозволяє зловмисникам розміщувати файли в конфіденційних місцях, зокрема в папці автозавантаження Windows, що забезпечує приховане збереження та автоматичне виконання після перезавантаження системи та входу користувача в систему.
Цей метод експлуатації відображає ширший прогалину в захисті, що полягає в базовій гігієні безпеки додатків та обізнаності кінцевих користувачів.
Від нульового дня до N-дня: еволюція атак
Цю вразливість було використано як вразливість нульового дня ще 18 липня 2025 року, зокрема, групою з подвійною мотивацією RomCom (також відомою як CIGAR або UNC4895). Ці операції призвели до поширення варіанту шкідливого програмного забезпечення SnipBot (NESTPACKER). Дослідники також пов'язують пов'язану активність з кластером, що відстежується як UNC2596, який був пов'язаний з розгортанням програм-вимагачів Cuba.
Після публічного розкриття та встановлення виправлень, вразливість швидко перетворилася на широко використовувану систему, коли зловмисники вбудовували шкідливі файли, часто корисні навантаження ярликів Windows (LNK), приховані в альтернативних потоках даних (ADS), всередину приманки. Після вилучення ці файли розміщуються у заздалегідь визначених системних шляхах та запускаються автоматично після перезавантаження.
Операції національних держав розширюють експлуатацію
Численні пов'язані з урядом групи загроз включили CVE-2025-8088 до активних кампаній. Зокрема, пов'язані з Росією суб'єкти використовували спеціально розроблені приманки та вторинні корисні навантаження для досягнення як шпигунських, так і деструктивних цілей:
- Sandworm (також відомий як APT44 або FROZENBARENTS) розгорнув архіви, що містили файли-приманки на українську тематику, разом зі шкідливими корисними навантаженнями LNK, призначеними для отримання додаткових компонентів.
- Гамаредон (також відомий як CARPATHIAN) атакував українські урядові установи, використовуючи RAR-архіви, які на першому етапі завантажували HTML-додатки (HTA).
Паралельно з цим, зловмисник з Китаю використав ту саму вразливість для встановлення Poison Ivy через пакетний скрипт, розміщений у папці автозавантаження Windows та налаштований на отримання вторинного завантажувача.
Фінансово мотивовані кампанії та комерційний таргетинг
Кіберзлочинні групи швидко скористалися цією вразливістю для розгортання троянів віддаленого доступу (RAT) та програм-викрадачів інформації проти комерційних жертв. Серед спостережуваних корисних навантажень – бекдори, керовані ботами Telegram, а також сімейства шкідливих програм, такі як AsyncRAT та XWorm.
В одній помітній кампанії кіберзлочинна група, відома своєю атакою на бразильських користувачів, поширила шкідливе розширення Chrome. Це розширення впровадило JavaScript на сторінки двох бразильських банківських веб-сайтів для відображення фішингового контенту та збору облікових даних користувачів, демонструючи гнучкість початкового доступу, отриманого за допомогою експлойту WinRAR.
Підпільні ринки та комерціалізація експлойтів
Вважається, що швидке та широке впровадження CVE-2025-8088 пов'язане з процвітаючою підпільною економікою експлойтів. Повідомляється, що експлойти WinRAR рекламувалися за тисячі доларів, що знижувало поріг входу для широкого кола учасників. Постачальник, який працював під псевдонімом «zeroplayer», просував експлойт WinRAR за кілька тижнів до публічного розкриття CVE-2025-8088.
Постійна роль Zeroplayer як постачальника послуг з розробки платформи ілюструє комерціалізацію життєвого циклу атаки, де готові можливості експлойту знижують витрати на розробку та дозволяють групам з різною мотивацією проводити складні операції.
Ширша схема: додаткові недоліки WinRAR під атакою
Ця активність збігається зі спробами експлуатації іншої вразливості WinRAR, CVE-2025-6218 (оцінка CVSS: 7.8). Було помічено, що кілька зловмисників, включаючи GOFFEE, Bitter та Gamaredon, використовують цю окрему вразливість, що посилює постійну загрозу, яку створюють n-денні вразливості, та швидкість, з якою зловмисники використовують нещодавно виявлені слабкі місця.
Стратегічні наслідки для захисників
Постійне зловживання виправленими вразливостями WinRAR підкреслює важливість своєчасного управління патчами, навчання користувачів та моніторингу механізмів збереження, таких як несанкціоновані файли в каталогах автозавантаження. Злиття державної та злочинної експлуатації ще раз демонструє, як швидко критичні вразливості стають спільними ресурсами в усьому ландшафті загроз.
