Российские и китайские шпионы, а также обычные преступники используют давно устраненную уязвимость WinRAR (CVE-2025-8088) для распространения RAT и стиллеров. Эксперты отмечают продолжающуюся эксплуатацию бага даже после выпуска патча.
Приглашаем всех желающих! От приспешников правительств России и Китая до корыстных злоумышленников — все они используют давно исправленную уязвимость WinRAR для доставки стиллеров данных и троянов удаленного доступа (RAT).
Эта уязвимость, отслеживаемая как CVE-2025-8088, представляет собой ошибку обхода путей, затрагивающую версию утилиты для распаковки под Windows. Она получила оценку 8.8 по шкале CVSS v3.1, а WinRAR устранила этот недостаток в версии 7.13, выпущенной 30 июля.
Вскоре после релиза исследователи ESET, обнаружившие и сообщившие об уязвимости, сообщили изданию The Register, что пророссийская группировка RomCom и как минимум еще одна преступная группа использовали эту брешь в безопасности как уязвимость нулевого дня.
С тех пор, к концу января, по данным Google Threat Intelligence Group (GTIG), несколько групп продолжают злоупотреблять CVE-2025-8088.
Эксплойт использует потоки альтернативных данных (ADS) — функцию Windows — для сокрытия вредоносного ПО. Злоумышленники создают вредоносные RAR-архивы с поддельным PDF-файлом или другим файлом внутри, и когда пользователь открывает этот поддельный файл в уязвимой версии WinRAR, скрытое вредоносное ПО записывает файлы в произвольные места в системе.
“Множество государственных структур внедрили эксплойт CVE-2025-8088, преимущественно нацеливаясь на военные, правительственные и технологические объекты”, — заявила GTIG в отчете, опубликованном во вторник.
К ним относятся RomCom, которая является как вымогательской, так и шпионской бандой, и использует эту уязвимость для атаки на украинские военные и правительственные структуры с помощью геополитических приманок. Три другие группировки, связанные с Кремлем — APT44 (также известная как Frozenbarents), Temp.Armageddon (также известная как Carpathian) и Turla (также известная как Summit) — также злоупотребляют CVE-2025-8088 для атаки на те же секторы в Украине.
Кроме того, по данным Google, неназванная группа из КНР использует уязвимость для доставки PoisonIvy, трояна удаленного доступа (RAT), через BAT-файл, который помещается в папку “Автозагрузка” и затем загружает дроппер вредоносного ПО.
Несколько криминальных синдикатов, движимых финансовыми интересами, также используют эту уязвимость для заражения машин жертв RAT и вредоносным ПО для кражи данных. Хотя охотники за угрозами не называют эти конкретные банды, сообщается, что среди них есть группа, нацеленная на коммерческие организации в Индонезии, другая, нацеленная на гостиничный и туристический секторы через фишинговые письма с приманками в виде бронирования отелей, доставляющие XWorm и AsyncRAT, и третья, сфокусированная на бразильских пользователях через банковские сайты, которая похищает учетные данные.
Более того, по состоянию на январь, “мы продолжаем наблюдать распространение вредоносного ПО с использованием CVE-2025-8088, включая стандартные RAT и стиллеры”, — заявили специалисты по безопасности.
Еще в июне, до того как уязвимость стала общеизвестной, злоумышленник под псевдонимом “zeroplayer” разместил объявление о продаже рабочего эксплойта нулевого дня для WinRAR за 80 000 долларов на форуме киберпреступников.
По данным GTIG, это не единственный эксплойт, который zeroplayer продает другим преступникам. “Исторически и в последние месяцы zeroplayer продолжает предлагать другие дорогостоящие эксплойты, которые могут позволить злоумышленникам обойти меры безопасности”, — написали исследователи.
Среди них — эксплойт нулевого дня для обхода песочницы и удаленного выполнения кода (RCE) для Microsoft Office, рекламируемый в ноябре 2025 года за 300 000 долларов, и эксплойт нулевого дня для локального повышения привилегий (LPE) в Windows, стоивший 100 000 долларов месяцем ранее.
В сентябре zeroplayer рекламировал эксплойт нулевого дня RCE для “популярного, не названного корпоративного VPN-провайдера” без указания цены, а также другой эксплойт нулевого дня для неуказанного драйвера, отключающий антивирусное ПО и средства обнаружения и реагирования на конечных точках, за 80 000 долларов. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons