Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Grupa Gamaredon, od lat łączona z rosyjskimi operacjami cyberwywiadowczymi, została powiązana z kampanią wykorzystującą podatność WinRAR oznaczoną jako CVE-2025-8088. Luka pozwala na przeprowadzenie ataku typu path traversal, dzięki czemu spreparowane archiwum może doprowadzić do zapisania i uruchomienia złośliwych plików poza oczekiwaną ścieżką ekstrakcji. W praktyce oznacza to, że zwykły plik archiwum może stać się punktem wejścia do pełnego łańcucha infekcji w środowisku Windows.
Kampania została powiązana z dostarczaniem kilku komponentów malware, w tym GammaPhish, GammaLoad, GammaWorm oraz GammaSteel. Ich zadania obejmują inicjalizację infekcji, pobieranie kolejnych etapów, rozprzestrzenianie się w sieci oraz kradzież danych z zainfekowanych systemów.
W skrócie
Gamaredon wykorzystuje lukę w WinRAR, aby uruchomić wieloetapowy łańcuch ataku przeciwko podmiotom ukraińskim. Po początkowym etapie dostarczany jest komponent HTML Application określany jako GammaPhish, a następnie skrypty VBScript znane jako GammaLoad.
- GammaWorm odpowiada za trwałość, propagację i zdalne wykonywanie poleceń.
- GammaSteel pełni rolę modułowego stealera do wyszukiwania i eksfiltracji plików.
- Atak wykorzystuje udziały sieciowe, nośniki USB, skróty LNK oraz Alternate Data Streams.
- Kampania wpisuje się w długofalowe operacje szpiegowskie wymierzone głównie w Ukrainę.
Kontekst / historia
Gamaredon pozostaje jednym z najaktywniejszych aktorów APT operujących przeciwko Ukrainie. W przeszłości grupa była kojarzona głównie z kampaniami spear-phishingowymi, dokumentami-przynętami oraz relatywnie prostymi, lecz skutecznymi metodami utrzymywania dostępu do systemów administracji, wojska i infrastruktury krytycznej. Najnowsza aktywność pokazuje jednak rozwój zarówno narzędzi, jak i sposobów dostarczania malware.
Znaczenie CVE-2025-8088 wynika z faktu, że luka dotyczy popularnego narzędzia archiwizacyjnego obecnego w wielu organizacjach. Nawet jeśli sama technika path traversal nie jest nowa, jej operacyjne wykorzystanie przez grupę APT zwiększa ryzyko skutecznego wejścia do środowisk, w których oprogramowanie użytkowe nie jest objęte pełnym nadzorem aktualizacyjnym.
Analiza techniczna
Łańcuch ataku rozpoczyna się od dostarczenia pliku xHTML lub archiwum zawierającego element inicjalny określany jako GammaPhish. Ten etap działa jak dropper i mechanizm startowy dla kolejnych komponentów. Po jego wykonaniu uruchamiany jest GammaLoad, czyli zestaw pośrednich loaderów opartych na VBScript.
GammaLoad odpowiada za profilowanie hosta, pobieranie dalszych skryptów z infrastruktury sterującej oraz przekazywanie kontroli następnym modułom malware. Badacze wskazują na kaskadową architekturę wielu etapów loadera, co utrudnia analizę incydentu i spowalnia działania zespołów reagowania.
Jednym z głównych ładunków jest GammaWorm. Moduł ten odpowiada za utrzymywanie trwałości, rozprzestrzenianie się w środowisku oraz wykonywanie poleceń otrzymywanych z infrastruktury atakującego. Do ukrywania części komponentów wykorzystywane są NTFS Alternate Data Streams, co zmniejsza widoczność artefaktów w standardowych listingach katalogów. Trwałość osiągana jest między innymi przez wpisy RunOnce oraz zadania harmonogramu podszywające się pod legalne elementy systemu.
Szczególnie istotny jest mechanizm propagacji. GammaWorm ukrywa prawidłowe katalogi na udziałach sieciowych i urządzeniach USB, po czym zastępuje je złośliwymi skrótami LNK. Dla użytkownika wygląda to jak otwarcie znanego folderu, ale w rzeczywistości uruchamiana jest zarówno przynęta, jak i kod malware. Taka technika sprzyja rozprzestrzenianiu się infekcji bocznej, zwłaszcza w środowiskach o słabej segmentacji sieci i ograniczonej kontroli nośników wymiennych.
Komunikacja z serwerami dowodzenia bywa maskowana przy użyciu techniki Dead Drop Resolver. W jednym z opisanych wariantów malware wykorzystuje publiczny kanał Telegram do pobierania informacji potrzebnych do ustalenia aktywnej infrastruktury C2. To podejście utrudnia blokowanie ruchu i pozwala ukryć właściwy backend operacji za legalną usługą internetową.
Drugim kluczowym komponentem jest GammaSteel, czyli modułowy stealer wdrażany przez GammaLoad. Część jego logiki ma być przechowywana w rejestrze systemowym, a poszczególne moduły szyfrowane są z użyciem DPAPI. GammaSteel monitoruje dyski lokalne i sieciowe, reaguje na podłączenie nowych urządzeń USB oraz śledzi zapisywanie i modyfikowanie wybranych plików. Zebrane dane są następnie eksfiltrowane do magazynu zgodnego z S3 lub do infrastruktury kontrolowanej bezpośrednio przez operatora.
Konsekwencje / ryzyko
Z perspektywy obrońców jest to kampania wysokiego ryzyka. Po pierwsze, wykorzystuje powszechnie stosowane narzędzie, które często nie podlega tak rygorystycznej kontroli wersji jak system operacyjny czy przeglądarki. Po drugie, atak nie kończy się na jednorazowym loaderze, lecz prowadzi do wdrożenia wyspecjalizowanych modułów do propagacji i kradzieży danych.
GammaWorm zwiększa prawdopodobieństwo rozlania się incydentu poza pierwotny punkt wejścia. W organizacjach z otwartymi udziałami SMB, słabą kontrolą urządzeń USB i ograniczoną telemetrią EDR skutkiem mogą być wieloetapowe infekcje wtórne trudne do szybkiego wykrycia. Dodatkowo użycie ADS i zadań harmonogramu może utrudniać analizę forensic oraz prowadzić do przeoczenia części śladów.
GammaSteel bezpośrednio zagraża poufności danych. Selektywne wyszukiwanie plików, monitorowanie zmian w czasie rzeczywistym i elastyczne kanały eksfiltracji oznaczają, że nawet krótkotrwała infekcja może zakończyć się utratą istotnych dokumentów operacyjnych, administracyjnych, wojskowych lub projektowych.
Rekomendacje
Najważniejszym krokiem powinno być niezwłoczne zaktualizowanie WinRAR do wersji niewrażliwej na CVE-2025-8088 oraz potwierdzenie, że starsze komponenty WinRAR i biblioteki UnRAR nie pozostały na stacjach roboczych. Organizacje powinny również objąć tego typu oprogramowanie pełnym inwentarzem i kontrolą zgodności wersji.
W warstwie detekcji warto monitorować następujące zachowania:
- tworzenie zadań harmonogramu o nietypowych nazwach lub lokalizacjach,
- uruchamianie wscript.exe, cscript.exe i curl.exe po rozpakowaniu archiwów,
- dostęp do Alternate Data Streams,
- masowe tworzenie plików LNK na udziałach sieciowych i nośnikach USB,
- modyfikacje kluczy rejestru wpływających na ukrywanie plików i rozszerzeń.
W obszarze prewencji warto ograniczyć lub wyłączyć wykonywanie VBScript tam, gdzie nie jest to niezbędne biznesowo. Pomocne będą także kontrola aplikacji, segmentacja udziałów sieciowych, ograniczenie użycia nośników USB oraz reguły wykrywające skróty LNK uruchamiające interpretery skryptowe.
W procesie reagowania należy sprawdzić nie tylko standardowe lokalizacje persistence, ale również ADS, klucze RunOnce, zadania harmonogramu oraz artefakty w rejestrze związane z konfiguracją C2. Istotna jest też analiza ruchu wychodzącego do legalnych platform internetowych, które mogą pełnić funkcję pośrednika dla komunikacji malware.
Podsumowanie
Kampania przypisywana Gamaredon pokazuje, że popularne narzędzia użytkowe nadal pozostają atrakcyjnym wektorem wejścia dla zaawansowanych operacji APT. Połączenie exploitu na WinRAR, wieloetapowych loaderów VBScript, ukrywania komponentów w ADS, propagacji przez skróty LNK i kradzieży danych za pomocą GammaSteel tworzy spójny oraz trudny do szybkiego zatrzymania łańcuch ataku.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że skuteczna obrona wymaga jednoczesnego podejścia do zarządzania poprawkami, widoczności telemetrycznej endpointów, kontroli skryptów i analizy zachowań charakterystycznych dla malware działającego wieloetapowo.
Źródła
- The Hacker News — https://thehackernews.com/2026/06/gamaredon-exploits-winrar-to-deliver.html
- Sekoia.io, FSB’s matryoshka #1/3: Inside Gamaredon Cyber Operations — https://blog.sekoia.io/fsbs-matryoshka-1-3-gamaredons-gifts-that-keeps-unpacking-gammaphish-and-gammaworm/
- NVD, CVE-2025-8088 — https://nvd.nist.gov/vuln/detail/CVE-2025-8088
- CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-8088