Російська хакерська група, відома як Gamaredon (також APT28, UAC-0010), продовжує цілеспрямовані атаки на Україну, експлуатуючи відому вразливість у архіваторі WinRAR. За інформацією дослідників безпеки Sekoia, ця кампанія спрямована на компрометацію систем з метою викрадення конфіденційних даних та подальшого поширення шкідливого програмного забезпечення в скомпрометованих мережах.
В основі цих атак лежить експлуатація вразливості CVE-2025-8088 – недоліку типу «обхід шляху» (path traversal) у WinRAR. Зловмисники створюють спеціально підготовлені архіви, які, при розпакуванні, дозволяють розмістити шкідливий файл у довільному місці файлової системи, обходячи стандартні механізми безпеки.
- Початковий вектор: Атака починається з доставки шкідливого HTML-додатку, який отримав назву GammaPhish. Цей додаток є першим етапом у ланцюжку зараження.
- Завантаження корисного навантаження: Після запуску GammaPhish використовується для завантаження та виконання додаткових шкідливих програм.
- Шкідливе ПЗ: Серед виявлених зразків – GammaWorm, призначений для поширення в мережі, та GammaSteel, основною функцією якого є викрадення даних з інфікованої системи.
Цей метод дозволяє Gamaredon ефективно обходити деякі засоби захисту та встановлювати стійкий доступ до цільових систем.
Ця загроза є надзвичайно актуальною для всіх організацій та приватних користувачів на території України. Група Gamaredon традиційно фокусується на державних установах, критичній інфраструктурі, оборонному секторі, а також на організаціях, що мають доступ до чутливої інформації. Будь-яка система, що використовує WinRAR і не оновлена до останньої версії, потенційно перебуває під загрозою.
Для мінімізації ризиків зараження та захисту від атак Gamaredon, Cyber Index UA рекомендує наступні дії:
- Негайне оновлення WinRAR: Переконайтеся, що всі інсталяції WinRAR оновлені до останньої доступної версії, яка виправляє вразливість CVE-2025-8088.
- Обережність з архівами: Уникайте відкриття архівів (.rar, .zip тощо) з невідомих або підозрілих джерел. Завжди перевіряйте їх антивірусним програмним забезпеченням.
- Навчання співробітників: Проведіть інструктаж для персоналу щодо розпізнавання фішингових листів та небезпечних вкладень.
- Використання комплексних засобів захисту: Забезпечте наявність актуального антивірусного програмного забезпечення, систем виявлення вторгнень (IDS/IPS) та міжмережевих екранів.
- Сегментація мережі: Застосовуйте принципи сегментації мережі для обмеження поширення шкідливого ПЗ у разі компрометації.
- Регулярне резервне копіювання: Створюйте регулярні резервні копії критично важливих даних та перевіряйте їхню цілісність.