Gamaredon wykorzystuje lukę WinRAR do prowadzenia modułowej kampanii szpiegowskiej przeciwko Ukrainie - Security Bez Tabu

Gamaredon wykorzystuje lukę WinRAR do prowadzenia modułowej kampanii szpiegowskiej przeciwko Ukrainie

Cybersecurity news

Wprowadzenie do problemu / definicja

Rosyjsko-powiązana grupa APT Gamaredon prowadzi nową kampanię cyberwywiadowczą, w której wykorzystuje podatność CVE-2025-8088 w WinRAR do dostarczania wieloetapowego łańcucha infekcji. Operacja wyróżnia się modułową budową, silnym zaciemnianiem kodu oraz technikami utrudniającymi analizę i usunięcie zagrożenia ze stacji roboczych.

W centrum kampanii znajduje się połączenie socjotechniki, legalnych narzędzi systemowych i mechanizmów trwałości opartych na autostarcie, zadaniach harmonogramu oraz ukrywaniu komponentów w Alternate Data Streams systemu NTFS. Głównym celem działań pozostają podmioty związane z Ukrainą.

W skrócie

  • Gamaredon wykorzystuje lukę path traversal w WinRAR do zapisania złośliwego pliku poza katalogiem ekstrakcji.
  • Infekcja rozpoczyna się od spreparowanego pliku XHTML i mechanizmu HTML smuggling.
  • Łańcuch ataku używa m.in. plików HTA, skryptów VBScript oraz procesu mshta.exe.
  • Malware utrzymuje trwałość dzięki autostartowi, zadaniom harmonogramu i modyfikacjom rejestru.
  • Zaawansowany komponent GammaWorm ukrywa moduły w ADS, rozprzestrzenia się przez USB i udziały sieciowe oraz komunikuje się z dynamiczną infrastrukturą C2.

Kontekst / historia

Gamaredon, znany także jako Armageddon, Primitive Bear czy UAC-0010, od lat koncentruje swoje operacje na celach ukraińskich. Grupa była wcześniej kojarzona z masowym phishingiem i relatywnie prostszymi narzędziami, jednak z czasem rozbudowała własny ekosystem malware, którego poszczególne rodziny zostały ujednolicone w schemacie „Gamma”.

Nowa kampania pokazuje, że operatorzy sprawnie adaptują publicznie opisane techniki. Szczególnie istotne jest to, że ataki obserwowano już po udostępnieniu poprawki dla CVE-2025-8088 w WinRAR 7.13. To klasyczny przykład sytuacji, w której opóźnione łatanie oprogramowania przekłada się bezpośrednio na skuteczność działań APT.

Analiza techniczna

Atak rozpoczyna się od dostarczenia spreparowanego pliku XHTML, najprawdopodobniej w ramach wiadomości spearphishingowej. Po otwarciu dokument inicjuje żądanie do zewnętrznego zasobu, co może służyć potwierdzeniu interakcji ofiary z przynętą. Następnie wykorzystywany jest mechanizm HTML smuggling, który dostarcza na host archiwum RAR bez konieczności klasycznego pobrania pliku wykonywalnego.

Archiwum zawiera plik-wabik oraz ukryty komponent HTA. Dzięki luce CVE-2025-8088 złośliwy plik może zostać zapisany bezpośrednio do folderu autostartu Windows, zamiast do standardowej lokalizacji ekstrakcji. W praktyce użytkownik widzi dokument pozornie zgodny z oczekiwaniami, a właściwy komponent infekcji uruchamia się przy następnym logowaniu.

Kolejny etap obejmuje użycie mshta.exe, który pobiera zdalny ładunek i inicjuje warstwę stagingu określaną jako GammaLoad. Badacze wskazują na kaskadowy model loaderów VBScript odpowiedzialnych za profilowanie hosta, aktualizację konfiguracji w rejestrze oraz pobieranie dalszych elementów z infrastruktury dowodzenia. Taka architektura zwiększa odporność kampanii na częściowe przerwanie infekcji.

Najbardziej zaawansowany komponent, GammaWorm, odpowiada za trwałość i propagację. Po deobfuskacji skrypt zawiera znaczną ilość kodu śmieciowego, którego celem jest spowolnienie analizy. Moduły malware są przechowywane w Alternate Data Streams, czyli dodatkowych strumieniach danych NTFS, co utrudnia ich wykrycie przy użyciu standardowych metod przeglądania plików.

W zakresie utrzymania dostępu malware wykorzystuje zadania harmonogramu o nazwach przypominających legalne elementy systemu, a także mechanizmy rejestru odtwarzające aktywność po logowaniu użytkownika. W obszarze propagacji infekowane są pamięci USB i udziały sieciowe, a prawdziwe foldery bywają ukrywane i zastępowane skrótami LNK o identycznej nazwie oraz ikonie. Kliknięcie takiego skrótu otwiera oczekiwany katalog, jednocześnie uruchamiając złośliwy kod.

Komunikacja z serwerami C2 została zaprojektowana z myślą o utrudnieniu detekcji. Malware korzysta z publicznych usług i mechanizmów typu dead drop resolver do ustalania aktualnej infrastruktury operatora. Dodatkowo obserwowano niestandardowe wzorce HTTP, w tym przekazywanie danych o ofierze w nagłówkach zamiast w treści żądania.

Konsekwencje / ryzyko

Kampania Gamaredon niesie wysokie ryzyko operacyjne dla organizacji, ponieważ łączy legalne procesy systemowe z technikami niemal bezplikowymi. Użycie mshta.exe, skryptów uruchamianych w pamięci oraz ADS ogranicza liczbę oczywistych artefaktów, które zwykle pomagają zespołom SOC szybko zidentyfikować zagrożenie.

Dla ofiar oznacza to ryzyko długotrwałej obecności przeciwnika w środowisku, kradzieży danych, dalszej propagacji na nośniki wymienne i zasoby sieciowe oraz możliwości dostarczenia kolejnych ładunków w późniejszym etapie operacji. Szczególnie narażone są organizacje z opóźnionym procesem patch management, ograniczoną widocznością aktywności skryptowej i słabą kontrolą urządzeń USB.

Rekomendacje

Najważniejszym krokiem obronnym jest aktualizacja WinRAR do wersji 7.13 lub nowszej wszędzie tam, gdzie oprogramowanie jest używane. Warto również zweryfikować obecność starszych wersji archiwizerów i przeanalizować, czy w środowisku nie funkcjonują podobne narzędzia korzystające z podatnych komponentów.

  • Monitorować uruchomienia mshta.exe, wscript.exe i cscript.exe, zwłaszcza gdy inicjują połączenia sieciowe.
  • Kontrolować tworzenie plików w katalogach autostartu oraz nowych zadań harmonogramu o nietypowych nazwach.
  • Analizować modyfikacje kluczy rejestru odpowiedzialnych za autostart i rekonfigurację środowiska.
  • Wdrożyć skanowanie Alternate Data Streams oraz ograniczyć wykonywanie HTA i VBScript tam, gdzie nie są wymagane biznesowo.
  • Monitorować tworzenie skrótów LNK na nośnikach USB i udziałach sieciowych.
  • Rozważyć ograniczenie użycia pamięci wymiennych i segmentację zasobów współdzielonych.
  • Analizować ruch HTTP pod kątem nietypowych nagłówków i mechanizmów rozwiązywania infrastruktury C2.

W przypadku potwierdzonej kompromitacji punktowe usunięcie pojedynczych plików może być niewystarczające. Ze względu na modułową budowę malware i możliwość ponownego pobrania komponentów bezpieczniejszym podejściem jest izolacja hosta, analiza śledcza, a następnie odtworzenie systemu z zaufanego źródła oraz hunting IOC i IOA w całym środowisku.

Podsumowanie

Najnowsza kampania Gamaredon pokazuje, że skuteczny cyberwywiad nie wymaga wyłącznie exploitów zero-day. Połączenie znanej podatności w popularnym narzędziu, dobrze przygotowanej przynęty oraz elastycznej, modułowej architektury malware wystarcza, by osiągnąć trwały dostęp do środowiska ofiary.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że szybkie wdrażanie poprawek, monitoring interpreterów skryptów, analiza niestandardowych mechanizmów trwałości i kontrola nośników wymiennych pozostają kluczowe w obronie przed nowoczesnymi kampaniami APT.

Źródła

  1. Security Affairs — Gamaredon Uses WinRAR Vulnerability to Launch Modular Spy Campaign on Ukrainian Targets
  2. Infosecurity Magazine — FSB Group Gamaredon Hides Worm in Windows Data Streams
  3. WinRAR — WinRAR 7.13 Final released
  4. SC Media — WinRAR zero-day exploited by RomCom threat group
  5. Malwarebytes — WinRAR vulnerability exploited by two different groups