Régi WinRAR kihasznállása Ukrajnában
A Trend Micro kutatása szerint két különálló, Oroszországhoz köthető kiberkémkedési művelet továbbra is aktívan kihasználja a CVE-2025-8088 azonosítójú WinRAR sérülékenységet ukrán célpontok ellen, annak ellenére, hogy a hibára közel egy évvel ezelőtt javítás jelent meg. A nem megfelelő patchmenedzsment és a régi szoftververziók továbbra is hatékony belépési pontot biztosítanak az állami hátterű támadók számára.
A CVE-2025-8088 egy path traversal sérülékenység, amely lehetővé teszi, hogy egy speciálisan kialakított RAR archívum fájlokat helyezzen el a Windows rendszer érzékeny könyvtáraiban, így a kártékony kód a következő rendszerindításkor automatikusan futtatásra kerülhet. A technikát korábban a RomCom, az APT44, a Turla, valamint más állami és bűnözői szereplők is alkalmazták.
A Trend Micro által elemzett egyik művelet a korábban a Gamaredonhoz köthető aktivitásokkal mutat hasonlóságot. A fertőzési lánc során a támadók adathalász e-mailekben küldött archívumokkal juttatják célba a kártékony állományokat, amelyek a sérülékenységet kihasználva további komponenseket – köztük VBScript-alapú letöltőket és kémkedésre alkalmas implantátumokat – telepítenek.
A Trend Micro szerint az ukrán szervezetek ellen folytatott műveletek azt mutatják, hogy a kiberkémkedési csoportok továbbra is rendszeresen ellenőrzik a régi, de még mindig kihasználható támadási felületeket.
A védekezés szempontjából a legfontosabb intézkedés a WinRAR 7.13 vagy újabb verzióra történő frissítés, mivel a szoftver nem rendelkezik automatikus frissítési mechanizmussal. Emellett kiemelt figyelmet érdemelnek a gyanús RAR mellékletek, a Startup könyvtárba váratlanul bekerülő LNK-, HTA- vagy BAT-fájlok, valamint a spear-phishing kampányokból érkező tömörített fájlok.
