Російські хакери використали стару вразливість для атаки на українські організації

Старі версії програми стали містком для проникнення в захищені мережі державних установ і приватних компаній. Про це пише видання Cyber Press.

Дивіться також Російські хакери зламали магазин LOVESPACE і викрали дані користувачів 

Що відомо про цю атаку?

Мова йде про вразливість, яку зафіксували під ідентифікатором CVE-2025-8088. Її рівень небезпеки оцінили у 8,8 бала за шкалою CVSS, що свідчить про високий ризик. Цей недолік дозволяє зловмисникам обходити стандартні попередження системи безпеки та непомітно встановлювати шкідливе програмне забезпечення на комп'ютер жертви. 

Основна причина успіху таких атак полягає в тому, що WinRAR не має функції автоматичного оновлення, а системні адміністратори часто ігнорують патч-менеджмент для подібних допоміжних утиліт.

Технічна суть вразливості прихована в тому, як старі версії програми (до версії 7.13) обробляють альтернативні потоки даних NTFS (ADS). Це легітимна функція файлової системи для зберігання метаданих, але хакери навчилися використовувати її для приховування шкідливого коду. 

Коли користувач відкриває спеціально створений архів RAR5, він бачить лише звичайний документ. Однак "під капотом" архів містить приховані записи з метаданими STMz. Оскільки програма не перевіряє послідовності обходу каталогів у назвах цих потоків, вона автоматично розпаковує приховані небезпечні файли у критичні папки системи, як-от "Автозавантаження" або C:\ProgramData.

Хто використовує вразливість?

За даними дослідників TrendAI, у кампаніях атак беруть участь щонайменше два великі угруповання, пов'язані з Росією.

SHADOW-EARTH-066

Перше з них, відоме як SHADOW-EARTH-066 (або UAC-0226), використовує вразливість для розгортання складного програмного забезпечення, призначеного для викрадення інформації. Їхній інструментарій еволюціонував: якщо раніше вони використовували прості макроси в Excel, то тепер перейшли на складні завантажувачі та шкідливі бібліотеки (result.dll), які працюють виключно в оперативній пам'яті. 

Щоб ускладнити роботу аналітикам, хакери використовують метод PEB-walking для динамічного визначення адрес функцій і шифрують внутрішні дані подвійним шаром алгоритму RC4. Їхня програма цілеспрямовано шукає паролі та документи у браузерах Firefox і тих, що базуються на Chromium, а також викрадає файли з 35 різними розширеннями. Після передачі даних на сервери через захищений протокол HTTPS, вірус видаляє всі сліди своєї присутності.

Earth Dahu/Gamaredon

Інше угруповання, Earth Dahu (також відоме як Gamaredon), обрало шлях використання скриптів для шпигунства. Їхні архіви зазвичай містять лише один шкідливий файл формату HTA, який потрапляє в папку автозавантаження. Після наступного входу користувача в систему цей файл зв'язується з інфраструктурою зловмисників, часто розміщеною на сервісах Cloudflare Workers, щоб завантажити додаткові модулі на базі VBScript. 

Щоб приховати мережевий трафік, хакери маскуються під легітимні українські державні домени або новини, використовуючи спеціальні синтаксичні прийоми в URL-адресах.

Дивіться також Нова загроза для Android дозволяє хакерам непомітно захоплювати чужі смартфони 

Патч є, але

Попри наявність патча, який вийшов ще у липні 2025 року, вразливість CVE-2025-8088 залишається активною загрозою. До цих атак долучилися й інші відомі групи, зокрема Sandworm, Turla та Void Rabisu. 

Експерти наголошують, що єдиним ефективним захистом є негайне оновлення WinRAR до версії 7.13 або новішої, а також впровадження систем контролю, здатних виявляти завантаження коду безпосередньо в пам'ять через системні виклики NT.