В последните месеци руската хакерска група Gamaredon е активна с нова кампания, при която използва уязвимост в популярния архивен софтуер WinRAR, за да разпространява различни видове зловреден софтуер. Тази атака е насочена предимно срещу украински цели и включва използването на експлойт за CVE-2025-8088 – критична уязвимост, позволяваща пътево преминаване (path traversal), която позволява изпълнение на злонамерен код.
Какво се случи?
Според анализи на киберсигурност, групата Gamaredon използва уязвимостта в WinRAR, за да инжектира HTML Application (HTA) файл, наречен GammaPhish. Този файл служи като средство за изтегляне и изпълнение на допълнителни зловредни програми, сред които GammaWorm и GammaSteel, които са насочени към кражба на данни и разпространение в заразените системи.
Този метод на атака позволява на хакерите да заобиколят традиционните защитни механизми, като използват легитимен софтуер за разпространение на зловреден код. Използването на уязвимостта CVE-2025-8088 е особено опасно, тъй като позволява на атакуващите да извършват пътево преминаване, което им дава възможност да записват и изпълняват файлове извън очакваните директории.
Защо това е важно?
Тази кампания подчертава няколко ключови аспекта в съвременната киберсигурност. Първо, използването на широко разпространен софтуер като WinRAR за атаки показва колко уязвими могат да бъдат дори популярните и често използвани приложения, ако не се поддържат актуални. Второ, целенасочените атаки срещу украински институции и организации отразяват продължаващата кибервойна в региона, където информационната сигурност играе критична роля.
Освен това, използването на сложни техники като HTML Application файлове и пътево преминаване демонстрира повишената техническа подготовка на хакерските групи, което налага по-задълбочени и многостранни мерки за защита.
По-широк контекст
Групата Gamaredon е известна с дългогодишната си активност, насочена към украински цели, като част от по-широката картина на киберконфликта между Русия и Украйна. Техните кампании често включват фишинг, разпространение на зловреден софтуер и кражба на чувствителна информация.
Уязвимостта CVE-2025-8088 в WinRAR беше публично разкрита и от тогава производителите на софтуера и експертите по киберсигурност призовават потребителите да обновят своите версии. Въпреки това, много системи остават уязвими, което позволява на групи като Gamaredon да продължат с успешните си атаки.
Какво може да последва?
В краткосрочен план е вероятно да се наблюдава увеличаване на подобни атаки, особено ако уязвимостта не бъде широко отстранена. Организациите, особено в Украйна и други рискови региони, трябва да засилят мониторинга и да прилагат актуализации своевременно.
От гледна точка на индустрията, този случай подчертава необходимостта от по-добра интеграция между разработчиците на софтуер и експертите по сигурност, за да се минимизират рисковете от подобни уязвимости. Също така, потребителите и организациите трябва да бъдат по-осведомени за потенциалните заплахи, свързани с използването на архиватори и други често използвани инструменти.
В дългосрочен план, подобни инциденти могат да доведат до засилване на регулациите и стандартите за сигурност в софтуерната индустрия, както и до по-широко използване на технологии за автоматично откриване и предотвратяване на зловредни атаки.
