Патч вышел, дыра осталась. Уязвимость WinRAR с оценкой 8,4 до сих пор открывает доступ к украинским военным и чиновникам

Патч для опасной ошибки в WinRAR вышел еще в июле 2025 года, но старая версия архиватора по-прежнему открывает злоумышленникам путь в организации. Проблема особенно заметна там, где WinRAR установлен на многих рабочих местах, но не обновляется через привычные корпоративные инструменты вроде Group Policy, WSUS, SCCM или Intune.

Исследователи Trend Micro описали две кампании против украинских организаций, в которых разные группы используют одну и ту же уязвимость CVE-2025-8088. Ошибка позволяет архиву записывать файлы за пределы папки распаковки. Жертва открывает RAR-файл и видит обычный PDF-документ, например судебную повестку, административное уведомление или документ Министерства обороны. Дополнительные файлы в этот момент попадают в системные папки без видимого предупреждения.

CVE-2025-8088 связана с обходом пути в WinRAR и получила оценку 8,4 балла по шкале CVSS. Уязвимость закрыли в WinRAR 7.13, но старые версии архиватора остались на части компьютеров. Для атакующих такая ситуация выглядит удобной: достаточно убедить адресата открыть архив, а дальнейшая цепочка запускается при следующем входе пользователя в Windows.

Первую кампанию Trend Micro связывает с группой SHADOW-EARTH-066, которую CERT-UA отслеживает как UAC-0226. С февраля 2025 года группа атакует украинские военные инновационные центры, воинские части, правоохранительные органы и местные администрации у восточной границы Украины.

Сначала SHADOW-EARTH-066 рассылала фишинговые письма с Excel-файлами и макросами. Темы писем подбирались под украинский контекст: разминирование, административные штрафы, производство беспилотников и компенсации за уничтоженное имущество. Внутри файлов находились инструменты для удаленного доступа и кражи учетных данных. Один из вредоносных компонентов получил название GIFTEDCROOK.

К началу 2026 года группа заметно усложнила схему. Вместо Excel-макросов появились вредоносные RAR-архивы, использующие CVE-2025-8088, а вместо простой отправки украденных данных в Telegram злоумышленники перешли к загрузке DLL в память и отдельным серверам управления.

Обновленная версия GIFTEDCROOK крадет пароли из браузеров, сессионные cookies и документы. Вредоносная программа ищет данные Chrome, Edge, Opera и Firefox, а также просматривает папки с документами, загрузками и временными файлами. В список интересующих расширений вошли 35 типов файлов, включая документы Office, PDF, архивы, письма EML, базы KeePass, конфигурации OpenVPN и обычные текстовые файлы.

После кражи данных вредоносный модуль удаляет промежуточные файлы и ярлык автозагрузки. Такой подход усложняет расследование: следы на диске могут исчезнуть сразу после первой успешной отправки данных. В таком случае специалистам приходится искать сетевые признаки, следы запуска PowerShell и остаточные записи в системных артефактах Windows.

Вторая кампания связана с группой Earth Dahu, более известной как Gamaredon. Группа давно атакует украинские государственные и военные структуры и часто использует скриптовые цепочки. В новой схеме Earth Dahu также применяет CVE-2025-8088, но загружает не DLL-стилер, а HTA, VBS или VBE-файлы, которые запускаются через папку автозагрузки Windows.

После входа пользователя в систему Windows запускает вредоносный HTA-файл через mshta.exe. Затем скрипт получает дополнительные модули через инфраструктуру Dynamic DNS и Cloudflare Workers. Исследователи отмечают, что использование Cloudflare Workers как прокси-сервиса для командного центра стало характерным приемом последних операций Earth Dahu.

Фишинговые письма Earth Dahu чаще всего имитировали украинскую судебную переписку: повестки, исполнительные документы и постановления об аресте имущества. Часть сообщений отправлялась с уже скомпрометированных почтовых ящиков украинских госорганов и бесплатных почтовых сервисов. В одном кластере четыре аккаунта на одном региональном сервере Exchange использовали общий внутренний IP-адрес, что указывает на взлом рабочей станции и рассылку через несколько ящиков.

Обе кампании используют одну уязвимость, но инструменты заметно различаются. SHADOW-EARTH-066 делает ставку на скомпилированный C++-модуль, загрузку DLL в память, шифрование строк и прямые серверы управления. Earth Dahu предпочитает скрипты, HTA, VBScript, PowerShell и проксирование через Cloudflare Workers. Общей инфраструктуры между группами исследователи не нашли.

Главный вывод касается не только WinRAR и не только Украины. Многие служебные программы, архиваторы и просмотрщики файлов широко установлены в компаниях, редко обновляются и часто выпадают из централизованного управления. Уязвимости в таких приложениях могут оставаться рабочими месяцами и годами, пока злоумышленники продолжают рассылать новые приманки и проверять старые входы.

Администраторам нужно проверить версии WinRAR на рабочих станциях, обновить архиватор до актуальной версии и включить сторонние приложения в общий процесс управления патчами. При подозрении на заражение стоит искать необычные файлы в папке автозагрузки, запуск PowerShell со скрытым окном, работу mshta.exe из автозагрузки и сетевые подключения к инфраструктуре злоумышленников. Если компьютер мог уже выполнить вредоносный код, сохраненные в браузере пароли и активные веб-сессии нужно считать скомпрометированными.