Попри те, що виправлення для критичної вразливості в архіваторі WinRAR були випущені майже рік тому, дві кіберзлочинні групи, пов'язані з Росією, продовжують активно її експлуатувати. Ці цілеспрямовані кампанії спрямовані на українські організації з метою розгортання шкідливого програмного забезпечення, що викрадає дані. За даними аналітиків Trend Micro, за цією діяльністю стоять угруповання Earth Dahu (також відоме як Gamaredon) та SHADOW-EARTH-066 (або UAC-0226).
Експлуатована вразливість ідентифікована як CVE-2025-8088. Це так звана «path traversal» (обхід шляху) помилка, яка дозволяє зловмиснику записувати файли в довільні місця файлової системи за межами цільової директорії під час розпакування шкідливого архіву. Такий механізм дозволяє кіберзлочинцям обійти стандартні механізми безпеки та розмістити шкідливе програмне забезпечення, зокрема стілери (програми для викрадення даних), у системних папках або папках автозавантаження, забезпечуючи його виконання.
Основною мішенню цих кібератак є українські організації. Під загрозою знаходяться всі установи, які використовують програмне забезпечення WinRAR, особливо ті, що не оновили його до останньої версії після випуску патчів. Оскільки атаки часто використовують соціальну інженерію та розповсюдження шкідливих архівів, ризику піддаються користувачі, які відкривають файли з неперевірених джерел або від невідомих відправників.
Для мінімізації ризиків та захисту від подібних атак Cyber Index UA рекомендує:
- Негайне оновлення WinRAR: Переконайтеся, що всі інсталяції WinRAR у вашій організації оновлені до останньої версії, яка містить виправлення для CVE-2025-8088.
- Навчання користувачів: Проведіть інструктаж для співробітників щодо небезпеки відкриття архівів з невідомих або підозрілих джерел, а також щодо розпізнавання фішингових електронних листів.
- Використання антивірусного ПЗ та EDR: Забезпечте наявність актуальних антивірусних рішень та систем виявлення та реагування на кінцевих точках (EDR) для моніторингу та блокування шкідливої активності.
- Сегментація мережі та принцип найменших привілеїв: Застосовуйте сегментацію мережі та принцип найменших привілеїв для обмеження потенційного поширення шкідливого ПЗ у разі компрометації.
- Регулярне резервне копіювання: Здійснюйте регулярне резервне копіювання критично важливих даних та перевіряйте можливість їх відновлення.