Российские хакеры использовали старую уязвимость для атаки на украинские организации

Старые версии программы стали мостом для проникновения в защищенные сети государственных учреждений и частных компаний. Об этом пишет издание Cyber Press.

Смотрите также: Российские хакеры взломали магазин LOVESPACE и похитили данные пользователей

Что известно об этой атаке?

Речь идет об уязвимости, зафиксированной под идентификатором CVE-2025-8088. Ее уровень опасности оценили в 8,8 балла по шкале CVSS, что свидетельствует о высоком риске. Этот недостаток позволяет злоумышленникам обходить стандартные предупреждения системы безопасности и незаметно устанавливать вредоносное программное обеспечение на компьютер жертвы.

Основная причина успеха таких атак заключается в том, что WinRAR не имеет функции автоматического обновления, а системные администраторы часто игнорируют патч-менеджмент для подобных вспомогательных утилит.

Техническая суть уязвимости кроется в том, как старые версии программы (до версии 7.13) обрабатывают альтернативные потоки данных NTFS (ADS). Это легитимная функция файловой системы для хранения метаданных, но хакеры научились использовать ее для сокрытия вредоносного кода.

Когда пользователь открывает специально созданный архив RAR5, он видит лишь обычный документ. Однако "под капотом" архив содержит скрытые записи с метаданными STMz. Поскольку программа не проверяет последовательность обхода каталогов в названиях этих потоков, она автоматически распаковывает скрытые опасные файлы в критические папки системы, такие как "Автозагрузка" или C:\ProgramData.

Кто использует уязвимость?

По данным исследователей TrendAI, в кампаниях атак участвуют как минимум две крупные группировки, связанные с Россией.

SHADOW-EARTH-066

Первая из них, известная как SHADOW-EARTH-066 (или UAC-0226), использует уязвимость для развертывания сложного программного обеспечения, предназначенного для кражи информации. Их инструментарий эволюционировал: если раньше они использовали простые макросы в Excel, то теперь перешли на сложные загрузчики и вредоносные библиотеки (result.dll), которые работают исключительно в оперативной памяти.

Чтобы затруднить работу аналитикам, хакеры используют метод PEB-walking для динамического определения адресов функций и шифруют внутренние данные двойным слоем алгоритма RC4. Их программа целенаправленно ищет пароли и документы в браузерах Firefox и тех, что базируются на Chromium, а также похищает файлы с 35 различными расширениями. После передачи данных на серверы через защищенный протокол HTTPS вирус удаляет все следы своего присутствия.

Earth Dahu/Gamaredon

Другая группировка, Earth Dahu (также известная как Gamaredon), выбрала путь использования скриптов для шпионажа. Их архивы обычно содержат только один вредоносный файл формата HTA, который попадает в папку автозагрузки. После следующего входа пользователя в систему этот файл связывается с инфраструктурой злоумышленников, часто размещенной на сервисах Cloudflare Workers, чтобы загрузить дополнительные модули на базе VBScript.

Чтобы скрыть сетевой трафик, хакеры маскируются под легитимные украинские государственные домены или новости, используя специальные синтаксические приемы в URL-адресах.

Смотрите также Новая угроза для Android позволяет хакерам незаметно захватывать чужие смартфоны

Патч есть, но

Несмотря на наличие патча, выпущенного еще в июле 2025 года, уязвимость CVE-2025-8088 остается активной угрозой. К этим атакам присоединились и другие известные группы, в частности Sandworm, Turla и Void Rabisu.

Эксперты отмечают, что единственной эффективной защитой является немедленное обновление WinRAR до версии 7.13 или более поздней, а также внедрение систем контроля, способных обнаруживать загрузку кода непосредственно в память через системные вызовы NT.