返回
快讯

WinRAR 漏洞遭俄关联组织用于乌克兰窃密

Trend Micro称,两个俄方关联网络攻击行动持续利用 WinRAR 漏洞 CVE-2025-8088 以针对乌克兰组织,利用条件为受害者处理恶意 RAR 压缩包。攻击可在解压目录外写入文件并投放窃密组件;建议及时升级 WinRAR,并排查可疑压缩包、启动项和 PowerShell 活动。

CVE-2025-8088

两起与俄罗斯有关联的网络攻击行动,尽管该漏洞的补丁早在将近一年前已经发布,仍在持续利用 WinRAR 中的一个安全缺陷,针对乌克兰组织。

Trend Micro 将这一活动归因于 Earth Dahu(又名 Gamaredon)和 SHADOW-EARTH-066(又名 UAC-0226)。该活动利用的是 CVE-2025-8088,这是一个路径遍历缺陷,攻击者可通过 NTFS Alternate Data Streams(ADS)将文件写到解压目录之外。WinRAR 已于 2025 年 7 月修复该漏洞。

Trend Micro 研究员 Hiroyuki Kakara 和 Feike Hacquebord 在周一发布的分析中表示,这些发现显示了“未受管理的软件如何在修复发布很久之后,仍然让一个已被利用的入口点持续开放”。

SHADOW-EARTH-066 利用的 WinRAR 攻击链,与该威胁行为者此前用于投递名为 GIFTEDCROOK 的信息窃取器的 Excel 宏投放器不同。最新一轮攻击使用精心构造的 RAR 压缩包,其中包含一个诱饵 PDF 文档和三个隐藏的 ADS 载荷,这些载荷位于解压目录之外,以启动感染。

其中包括一个放置在 Startup 文件夹中的 Windows Shortcut(LNK)文件,因此它会在用户每次登录时自动执行。随后它会通过 “cmd.exe” 启动一个 PowerShell 加载器,再借助内存中 DLL 加载,最终启动更新版的 GIFTEDCROOK(“result.dll”)。

该恶意软件会从基于 Chromium 的浏览器(Google Chrome、Microsoft Edge 和 Opera)以及 Mozilla Firefox 中窃取密码和 cookies,同时还会从受害机器上收集匹配特定扩展名的文档。数据外传到外部服务器后,所有恶意痕迹都会被删除,以掩盖取证线索。

一个显著变化是,外传通道从 Telegram 转为专用命令与控制(C2)服务器,这一关键调整很可能与俄罗斯在今年 2 月早些时候封锁该消息平台有关。

第二个利用 CVE-2025-8088 的俄方关联黑客组织是 Earth Dahu,该组织至少从 2025 年 9 月起就将该漏洞纳入其攻击工具库。该对手以其“工业规模的努力”而闻名,旨在对已被入侵的组织维持长期访问。

Trend Micro 指出:“Earth Dahu 使用该漏洞时,采用了一条 HTA 到 VBScript 的感染链,用于投递间谍模块。根据 RAR 内部文件时间戳和文件命名规则,这条链至少一直活跃到 2026 年 4 月 10 日。”

这些攻击也在上周被 Sekoia 记录,最终会投递 GammaPhish,即一个 HTML Application(HTA);随后它会被用来获取名为 GammaLoad 的 VBScript 下载器。这个中间下载器随后会投递更多模块,例如 GammaSteel。

Sekoia 表示,GammaLoad 是“一组旨在通过利用 Dead Drop Resolvers(DDR)确保持续访问并随时间投递载荷的 VBScripts”,并补充说,它被用来投递一个 dropper,该 dropper 旨在启动一个 VBScript loader,负责执行 GammaSteel。GammaSteel 是一个全面的信息窃取器,能够实时监控文件变化。

Trend Micro 表示:“WinRAR 深度嵌入乌克兰组织的日常运作中,这使其成为一个极具吸引力的利用目标。两个成熟的国家支持组织以及独立追踪的活动集群同时聚焦于同一个漏洞,反映出乌克兰面临的网络威胁规模。”