Wprowadzenie do problemu / definicja
Grupa Gamaredon, od lat wiązana z rosyjskimi operacjami cyberszpiegowskimi, została powiązana z kampanią wykorzystującą podatność w programie WinRAR do uruchomienia wieloetapowego łańcucha infekcji. Atak prowadzi do dostarczenia komponentów odpowiedzialnych za rozpoznanie środowiska, utrzymanie dostępu, propagację w sieci oraz kradzież danych.
Sprawa zwraca uwagę, ponieważ pokazuje praktyczne wykorzystanie błędu typu path traversal w popularnym narzędziu archiwizującym. Jednocześnie kampania potwierdza dalszą profesjonalizację zestawu narzędzi używanych przeciwko celom ukraińskim.
W skrócie
Badacze ustalili, że operatorzy Gamaredon wykorzystują lukę CVE-2025-8088 w WinRAR do uruchomienia komponentu GammaPhish, który następnie pobiera skryptowy downloader GammaLoad. Za jego pośrednictwem dostarczane są kolejne moduły, w tym GammaWorm oraz GammaSteel.
GammaWorm odpowiada za trwałość, rozprzestrzenianie się przez nośniki USB i zasoby współdzielone oraz uruchamianie dalszego kodu z infrastruktury C2. Z kolei GammaSteel działa jako stealer, wyszukując i eksfiltrując pliki do zewnętrznej infrastruktury.
Kontekst / historia
Gamaredon należy do najbardziej aktywnych grup ukierunkowanych na Ukrainę. Operatorzy tej aktywności byli wcześniej łączeni z kampaniami wymierzonymi w administrację publiczną, sektor wojskowy oraz elementy infrastruktury krytycznej.
Charakterystyczne dla tej grupy są masowe kampanie spear phishingowe, użycie archiwów jako nośnika pierwszego etapu ataku oraz szybkie modyfikowanie narzędzi w celu utrudnienia detekcji. Opisana operacja wpisuje się w ten schemat, ale jednocześnie pokazuje bardziej modularne podejście do budowy łańcucha infekcji.
Zamiast pojedynczego malware atakujący wdrażają zestaw komponentów realizujących odrębne zadania:
- dostarczenie początkowego ładunku,
- konfigurację komunikacji z serwerami sterującymi,
- utrzymanie trwałości,
- propagację w środowisku,
- eksfiltrację danych.
Taka architektura zwiększa odporność operacji na częściową blokadę i pozwala elastycznie dostosowywać działanie malware do bieżących potrzeb operatorów.
Analiza techniczna
Centralnym elementem kampanii jest wykorzystanie luki CVE-2025-8088 w WinRAR. Błąd typu path traversal umożliwia zapisanie plików w nieoczekiwanych lokalizacjach po otwarciu spreparowanego archiwum, co pozwala przygotować grunt pod uruchomienie kolejnych etapów infekcji.
Pierwszym obserwowanym etapem jest komponent GammaPhish, działający jako payload typu HTML Application. Jego zadaniem jest inicjowanie kolejnego kroku i pobranie pośredniego downloadera VBScript o nazwie GammaLoad.
GammaLoad pełni rolę orkiestratora całej infekcji. Rozpoznaje host, aktualizuje konfigurację sieciową w rejestrze z użyciem mechanizmu dead drop resolvers oraz pobiera dalsze skrypty z infrastruktury C2.
Jednym z dostarczanych modułów jest GammaWorm. Malware ustanawia trwałość między innymi przez zadania harmonogramu, a następnie wspiera propagację w środowisku poprzez ukrywanie legalnych katalogów w udziałach sieciowych i na nośnikach USB oraz zastępowanie ich złośliwymi skrótami LNK.
Dodatkowo GammaWorm wykorzystuje alternatywne strumienie danych NTFS do ukrywania swoich modułów. Technika ta utrudnia wykrycie zagrożenia przez mniej zaawansowane rozwiązania ochronne i analityczne.
Na uwagę zasługuje także sposób rozwiązywania adresów infrastruktury C2. Według ustaleń badaczy GammaWorm korzysta z żądania HTTP realizowanego przez curl do publicznego kanału Telegram, z którego pobierane są informacje potrzebne do dalszej komunikacji. Nadużycie legalnej platformy pomaga ukryć aktywność wśród normalnego ruchu sieciowego.
Drugim istotnym modułem jest GammaSteel, czyli stealer o budowie modułowej. Jego zadaniem jest wyszukiwanie plików o określonych rozszerzeniach, a następnie ich eksfiltracja. Dane mogą być wysyłane do zasobu w chmurze AWS S3 lub do serwera kontrolowanego bezpośrednio przez atakujących jako kanału zapasowego.
Badacze wskazali również, że ten sam łańcuch infekcji może być używany do dystrybucji innych rodzin malware, w tym komponentów destrukcyjnych takich jak GammaWipe. To oznacza, że platforma stosowana przez operatorów może obsługiwać zarówno scenariusze szpiegowskie, jak i sabotażowe.
Konsekwencje / ryzyko
Z perspektywy obrońców największe ryzyko wynika z połączenia kilku technik w jednym ataku: wykorzystania podatności w powszechnie używanym oprogramowaniu, socjotechniki opartej na archiwach, skryptowych downloaderów, trwałości przez harmonogram zadań, ukrywania komponentów w ADS oraz propagacji przez LNK i nośniki wymienne.
Taki zestaw technik zwiększa skuteczność operacji zarówno w środowiskach korporacyjnych, jak i w organizacjach o niższej dojrzałości bezpieczeństwa. Dla ofiar oznacza to ryzyko kradzieży dokumentów operacyjnych, materiałów wojskowych, danych administracyjnych oraz informacji o znaczeniu strategicznym.
Istotne jest również ryzyko wtórne. Jeśli operatorzy są w stanie dostarczać inne rodziny malware przy użyciu tego samego łańcucha, środowisko początkowo objęte cyberszpiegostwem może później zostać wykorzystane do działań destrukcyjnych, usuwania danych lub zakłócania pracy systemów.
Rekomendacje
Organizacje powinny w pierwszej kolejności zweryfikować, czy używane wersje WinRAR zostały zaktualizowane i nie są podatne na CVE-2025-8088. Tam, gdzie natychmiastowa aktualizacja nie jest możliwa, należy ograniczyć otwieranie archiwów z niezweryfikowanych źródeł oraz zastosować dodatkowe mechanizmy izolacji dla stacji roboczych podwyższonego ryzyka.
W warstwie detekcyjnej warto monitorować uruchamianie plików HTA, VBScript oraz nietypowych procesów potomnych pojawiających się po otwarciu archiwów. Szczególną uwagę należy zwrócić na tworzenie zadań harmonogramu, użycie curl w nietypowych kontekstach użytkownika, modyfikacje udziałów sieciowych, masowe tworzenie skrótów LNK oraz obecność alternatywnych strumieni danych NTFS.
- ograniczenie lub blokowanie wykonywania HTA i VBScript tam, gdzie nie są biznesowo wymagane,
- wdrożenie reguł EDR i SIEM wykrywających ekstrakcję archiwów prowadzącą do zapisu w niestandardowych ścieżkach,
- kontrola użycia nośników USB i monitorowanie zmian w katalogach współdzielonych,
- inspekcja ruchu do usług publicznych wykorzystywanych jako pośrednia warstwa C2,
- segmentacja zasobów plikowych oraz ograniczenie praw zapisu do współdzielonych katalogów,
- regularne ćwiczenia reagowania na incydenty obejmujące scenariusze z użyciem skryptów, LNK i malware modularnego.
Z punktu widzenia reagowania kluczowe będzie szybkie ustalenie pełnego łańcucha wykonania: od otwarcia archiwum, przez uruchomienie HTA i skryptów VBScript, po komunikację z C2 i ewentualną eksfiltrację. Analiza artefaktów takich jak zadania harmonogramu, wpisy rejestru, skróty LNK, ADS oraz logi proxy może znacząco skrócić czas identyfikacji skali incydentu.
Podsumowanie
Kampania przypisywana Gamaredon pokazuje, że klasyczne wektory wejścia, takie jak złośliwe archiwa, nadal pozostają bardzo skuteczne, jeśli zostaną połączone z podatnością w popularnym narzędziu i modularnym zestawem malware. W tym przypadku luka w WinRAR stała się punktem startowym dla łańcucha prowadzącego do rozpoznania środowiska, utrzymania dostępu, propagacji oraz kradzieży danych.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona przed współczesnymi kampaniami APT wymaga jednoczesnego podejścia do zarządzania podatnościami, ograniczania interpreterów skryptowych, monitorowania anomalii w systemie plików oraz analizy ruchu wychodzącego do legalnych usług wykorzystywanych jako infrastruktura pośrednia.