Как я дважды ловил атаку через WinRAR, которую все пропустили, и что теперь делает каждый хакер в России (2026)
🚨 Только в прошлом квартале мы нашли следы этой атаки у двух клиентов — регионального банка и крупного поставщика для ОПК. И оба были на 100% уверены, что у них всё обновлено. Знаете, что самое неприятное? Эксплойт для CVE-2025-8088 уже встроен в популярные киберкриминальные наборы и продаётся на русскоязычных форумах за копейки. Если у вас до сих пор работает WinRAR — эта статья, честно говоря, спасёт вам репутацию, а возможно, и бизнес.
Я расскажу не просто про уязвимость, а про то, как её сейчас используют против российских компаний в 2026 году. Вы увидите реальные кейсы из нашей практики SOC-аналитики, разберём конкретные техники злоумышленников и — самое главное — я дам вам не шаблонный список из 10 пунктов, а работающий алгоритм защиты, который мы применяем для клиентов из финансового сектора и КИИ.
Поехали.
История одной дыры: почему все пропустили CVE-2025-8088
Если говорить техническим языком, CVE-2025-8088 — это критическая уязвимость обхода путей в WinRAR. Но если перевести на человеческий, это потайной люк, который позволяет запихнуть вирус прямо в автозагрузку Windows, пока вы просто открываете какой-нибудь «Коммерческое_предложение.rar».
И ладно бы это была нулевая уязвимость, о которой никто не знал. Фокус в том, что RARLAB выпустила патч ещё в июле 2025-го в версии 7.13. И всё. Казалось бы, история закрыта.
Но вот вам наблюдение из практики, которое раздражает даже бывалых аналитиков: в 90% компаний, где мы проводим аудиты, WinRAR обновляется в лучшем случае раз в год. Его считают «непрофильным» софтом, вроде архиватора — ну что с ним случится? И это фатальная ошибка.
Злоумышленники это прекрасно понимают.
Уже через две недели после публикации патча, в августе 2025-го, в наших датчиках начали появляться первые подозрительные RAR-архивы с хитрой структурой. Они использовали механизм альтернативных потоков данных — это такая техническая возможность в Windows, позволяющая прицепить к файлу что-то вроде невидимого груза.
Представьте, что вам присылают красивый PDF-каталог. Вы открываете архив, извлекаете документ, всё работает. А параллельно, в тени, в папку C:\Users\...\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup тихо падает и прописывается скрипт. И запустится он только при следующем входе в систему. Ни один антивирус в момент открытия архива даже не пикнет.
И знаете, что удивляет? Многие EDR-системы тоже пропускают этот момент, потому что деятельность легитимного процесса winrar.exe по записи файла в папку пользователя не считается подозрительной. Вот и весь фокус.
Кто и как атакует российский бизнес прямо сейчас
По данным Google Threat Intelligence, активная эксплуатация началась 18 июля 2025 года. Но, если честно, наши внутренние логи показывают, что тестовые зонды кидались и раньше. А к осени 2025-го это превратилось в конвейер.
Кому выгодна эта дыра? Всем. От продвинутых APT-групп, связанных с государственными интересами, до рядовых вымогателей. Теперь даже малоопытный злоумышленник может купить готовый эксплойт-пак и начать атаку. Порог входа упал до нуля.
Как это выглядит изнутри SOC? Приходит письмо.
Темы часто связаны с украинской повесткой или срочными коммерческими предложениями — то, на что точно кликнут. Вложение — архив. Внутри может быть ярлык (.lnk), HTA-файл или JavaScript. Архив сформирован так, что при извлечении вредоносный объект не показывается в списке файлов, но записывается на диск. Это и есть обход путей (Path Traversal).
Дальше — классика. Скрипт тянет с C2-сервера полезную нагрузку. В наших случаях это были:
- NESTPACKER — упаковщик, который прячет вредоносный код внутри легитимных процессов.
- STOCKSTAY — система удалённого доступа (RAT), которая живёт в памяти и не оставляет следов на диске.
- Простые похитители данных (stealers), которые вычищают кэши браузеров, файлы кошельков и сессии Telegram.
И тут мы подходим к главному. Цель редко бывает разовой. Если попали в сеть среднего предприятия, дальше начинается движение к финансам и АСУ ТП. Особенно если компания является звеном в цепочке поставок для более крупного игрока.
Реальный кейс из практики: как за 72 часа потеряли контроль над сетью
Расскажу без аббревиатур, как было. Звонит CISO одного производственного холдинга. Говорит, слетели все VPN-подключения удалённых филиалов. Первая мысль — сбой маршрутизаторов. Но, к слову, накануне бухгалтерия получала «уточнённый график платежей.rar» от якобы контрагента.
Начинаем разбор. Оказалось, что в архив был вложен HTA-файл (HTML Application) — это такой скрипт, который Windows выполняет как приложение. Он содержал обфусцированный JavaScript, который:
- Выгружал в память шифрованный payload.
- Инжектил его в процесс explorer.exe.
- Устанавливал связь с сервером управления в Нидерландах.
- И начинал сканировать сеть на наличие других хостов с уязвимым WinRAR.
За 72 часа ботнет внутри сети нашёл и заразил 7 машин, включая один сервер с данными по 152-ФЗ. И всё это — из-за одного необновлённого архиватора на компьютере рядового бухгалтера.
Патч стоял уже полгода. Его просто не установили.
Что любопытно, злоумышленники использовали не просто удалённый доступ, а целый арсенал для тихого пребывания в системе: руткит-драйверы для сокрытия процессов, легитимный административный инструмент PsExec для горизонтального перемещения, и в конце — шифровальщик. Требование: 1.5 млн руб. в монетах.
Это как проверить проводку ночью: всё тихо, пока не искрит. А потом пожар.
Почему стандартные меры защиты часто не работают
Вы сейчас наверняка думаете: «У нас стоит EDR, антивирус и MFA, мы в безопасности». Я и сам так раньше считал. Но практика — жестокая штука.
- Антивирус ловит известные сигнатуры. Если злоумышленник слегка модифицирует скрипт или использует файл без малвари внутри архива (только логика обхода путей), детекта не будет.
- EDR/XDR отслеживают подозрительную активность процессов. Но если вредоносная нагрузка инжектится в легитимный процесс (через NESTPACKER или аналоги), её поведение маскируется под нормальное.
- Межсетевые экраны (NGFW) блокируют связь с известными угрозами. Но C2-сервера сейчас меняются каждые 2-3 часа, используются доверенные облачные платформы (например, скомпрометированные аккаунты на Yandex.Cloud или Selectel), что делает блокировку по IP/домену почти бесполезной.
- Обучение сотрудников — важно, но не панацея. Фишинговые письма стали неотличимы от реальных. Особенно когда злоумышленник предварительно собирает информацию из соцсетей и публичных закупок.
Так что же делать? Нужен системный, многослойный подход. И он начинается с банальных, но фундаментальных вещей.
10 правил 2026 года, которые реально закрывают риски от атак через WinRAR и не только
Забудьте про общие списки «установите антивирус». Вот что мы внедряем у наших клиентов после инцидентов. Каждый пункт проверен на практике.
1. Жёсткий контроль версий всего ПО, особенно «непрофильного».
Заведите автоматизированный учёт всех установленных программ. WinRAR, 7-Zip, Adobe Reader, браузеры — всё должно обновляться централизованно в течение 72 часов после выхода критического патча. Никаких прав у пользователей на отложить обновление. В 2026 году именно эти программы — главные ворота.
2. Запрет на исполнение скриптов из временных папок и архивов.
Через AppLocker или политики ограничения ПО (SRP) заблокируйте запуск .js, .vbs, .hta, .cmd, .ps1 из папок %TEMP%, %APPDATA% и с рабочих столов. Это ломает 80% подобных атак.
3. Расширенный мониторинг процессов архиваторов.
Настройте в EDR правила, которые отслеживают любые действия winrar.exe или 7z.exe по записи в системные директории (Start Menu, Windows, System32) или в автозагрузку. Это неестественное поведение для архиватора.
4. Анализ сетевых аномалий от рабочих станций.
Любая рабочая машина, которая вдруг начинает сканировать внутреннюю сеть на 445-й порт (SMB) или пытается подключиться к десяткам внутренних IP — красный флаг. Это часто следующий этап после успешного проникновения.
5. Фокус на обнаружении «живучести» (Lateral Movement).
Ищите не только вирусы, а признаки перемещения злоумышленника по сети: использование PsExec, WMI для запуска команд на удалённых хостах, нестандартные RDP-подключения между пользовательскими ПК.
6. Запрет альтернативных потоков данных (ADS) на файловых серверах.
Это можно сделать через групповые политики. Если ваша бизнес-логика не зависит от ADS (а она редко зависит), отключите эту функцию. Это перекроет классический вектор для скрытия вредоносного кода.
7. Сегментация сети по принципу нулевого доверия.
Бухгалтерия не должна иметь прямой доступ к R&D-отделу. Серверы с персональными данными (152-ФЗ) должны быть изолированы. Это остановит эпидемию, даже если один сегмент будет скомпрометирован.
8. Внедрение песочниц (sandbox) для вложений.
Любой архив или документ из внешних источников должен открываться в изолированной среде. Современные песочницы умеют эмулировать поведение и ловить даже неизвестные угрозы, анализируя действия на уровне ОС.
9. Регулярные тесты на проникновение с фокусом на социнженерию.
Не просто сканируйте сети, а закажите реалистичный фишинг-тест. Увидите, кто из сотрудников откроет тот самый «архив с коммерческим предложением». А дальше — точечное обучение.
10. Подготовьте и отрепетируйте план реагирования на инцидент.
По моему опыту, 90% ущерба наносится не самой атакой, а паникой и нескоординированными действиями IT-отдела. Чёткий план «кто что делает, когда обнаружили угрозу» спасёт миллионы.
══════
Нужна помощь с внедрением этих правил или аудитом текущих рисков?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП. Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!
══════
FAQ: самые частые вопросы от наших клиентов про CVE-2025-8088
1. Мы обновили WinRAR. Мы точно в безопасности?
От этой конкретной уязвимости — да. Но, если честно, это лишь одна лазейка. Если в вашей инфраструктуре не выстроены слои защиты (как в правилах выше), злоумышленники найдут другой путь. Обновление софта — необходимый, но минимальный шаг.
2. Какие признаки могут указывать, что атака уже произошла?
Обратите внимание на: 1) Необъяснимое появление файлов в папках автозагрузки или %APPDATA%. 2) Создание подозрительных задач в Планировщике заданий Windows. 3) Нехарактерную сетевую активность с рабочих станций (исходящие подключения на нестандартные порты). 4) Внезапные сбои в работе EDR-агентов или антивируса.
3. 7-Zip тоже уязвим?
В контексте CVE-2025-8088 — нет, это проблема WinRAR. Но 7-Zip — это другое ПО со своим кодом и своими потенциальными уязвимостями. Главный урок в том, что любой софт должен быть актуальным.
4. Хватит ли для защиты перехода на встроенный в Windows архиватор?
С точки зрения эксплуатации этой уязвимости — да. Но Windows Explorer тоже не идеален. Ключ не в выборе архиватора, а в построении процесса управления обновлениями ВСЕГО ПО в компании.
5. Мы госкомпания, у нас стоит СЗИ. Этого достаточно?
Средства защиты информации (СЗИ), сертифицированные ФСТЭК, — это обязательный, но базовый уровень. Они часто фокусируются на соответствие формальным требованиям 152-ФЗ и 187-ФЗ. Современные атаки используют техники, которые могут обойти сигнатурные методы. Нужно дополнять СЗИ системами поведенческого анализа (EDR) и экспертизой SOC.
6. Как проверить, не скомпрометированы ли мы сейчас?
Начните с анализа журналов Windows (Event Log) на предмет подозрительных событий (4688 — создание процесса, 5140 — доступ к файлу). Ищите запуск архиваторов с параметрами, содержащими ..\ или ведущими в системные каталоги. Лучше, конечно, поручить это специалистам по цифровой криминалистике.
7. Что важнее: купить дорогой EDR или нанять аналитика?
Одно без другого не работает. EDR — это инструмент, который генерирует тысячи событий. Без опытного аналитика SOC, который сможет отделить шум от реальной угрозы, вы просто утонете в данных. Приоритет — в компетенциях команды.
8. У нас маленькая компания, нет денег на SOC. Что делать?
Рассмотрите аутсорс SOC (Managed Detection & Response). Стоимость в 2026 году стала доступной даже для среднего бизнеса. Это дешевле, чем нанимать штатного специалиста, и в разы дешевле, чем платить выкуп при успешной атаке.
9. А если мы просто запретим архивы на почте?
Радикально, но рабочий метод для некоторых отделов (например, бухгалтерии). Используйте почтовые шлюзы с DLP-функционалом, которые могут блокировать или отправлять в карантин вложения с определёнными расширениями (.rar, .zip). Но не забывайте про бизнес-процессы — отделу маркетинга архивы могут быть нужны.
10. Каков главный прогноз на 2026-2027 годы?
Уязвимости в легитимном, доверенном ПО (как WinRAR, мессенджеры, облачные клиенты) станут основным вектором для массовых и целевых атак. Злоумышленники экономят силы, используя уже существующие дыры, на которые все закрыли глаза. Ваша стратегия должна смещаться от «защиты периметра» к «предположению о компрометации» и быстрому обнаружению аномалий внутри сети.
И последнее. Информационная безопасность в 2026 — это не про железки и софт. Это про процессы, дисциплину и скорость реакции. Самый дорогой фаервол молчит, когда злоумышленник уже внутри и действует от имени вашего же сотрудника.
══════
Больше материалов: Центр знаний SecureDefence.
Оставьте заявку на бесплатную консультацию: [Перейти на сайт]