НАЗАД К НОВОСТЯМ
Срочные новости

Amaranth Dragon, связанный с APT41, эксплуатирует уязвимость WinRAR CVE-2025-8088 в шпионской кампании

3 мин чтенияИсточник: BleepingComputer
CVE-2025-8088

Кибершпионская группа Amaranth Dragon, связанная с китайской APT41, эксплуатирует критическую уязвимость CVE-2025-8088 в WinRAR для атак на госорганы. Узнайте о технических деталях и мерах защиты.

Кибершпионская группа, связанная с APT41, эксплуатирует уязвимость нулевого дня в WinRAR

Недавно выявленная кибершпионская группа Amaranth Dragon, связанная с поддерживаемой китайским государством APT41, эксплуатирует CVE-2025-8088 — критическую уязвимость в WinRAR, для проведения целевых атак на государственные и правоохранительные органы. Уязвимость, которая до сих пор активно эксплуатируется, позволяет злоумышленникам выполнять произвольный код на уязвимых системах.

Технические детали CVE-2025-8088

CVE-2025-8088 — это уязвимость удаленного выполнения кода (RCE), затрагивающая WinRAR версии до 7.0.1, широко используемую утилиту для архивирования файлов. Уязвимость возникает из-за некорректной обработки пути при работе с специально созданными архивными файлами, что позволяет злоумышленникам размещать вредоносные payload в чувствительных системных директориях, таких как папка автозагрузки Windows (Startup).

После эксплуатации уязвимость позволяет злоумышленникам:

  • Выполнять произвольные команды с правами пользователя
  • Развёртывать дополнительное вредоносное ПО для обеспечения постоянного доступа и горизонтального перемещения по сети
  • Похищать конфиденциальные данные с скомпрометированных систем

Исследователи в области безопасности отмечают, что цепочка атаки основана на фишинговых письмах, содержащих вредоносные архивы, которые при открытии автоматически запускают эксплуатацию уязвимости без дополнительного взаимодействия с пользователем.

Влияние и атрибуция

Кампания Amaranth Dragon соответствует историческим шаблонам атак APT41, нацеленным на государственные, оборонные и правоохранительные структуры в Юго-Восточной Азии и Северной Америке. Хотя точная атрибуция остаётся сложной задачей, совпадение тактик, техник и процедур (TTPs), включая использование кастомных семейств вредоносного ПО и повторное использование инфраструктуры, указывает на связь с китайской группой угроз повышенной сложности (APT).

Эксплуатация CVE-2025-8088 подчёркивает растущую тенденцию использования государственными хакерами широко распространённого программного обеспечения для обхода традиционных мер безопасности. Учитывая, что у WinRAR более 500 миллионов пользователей, уязвимость представляет значительный риск для организаций, использующих этот инструмент для сжатия и распаковки файлов.

Меры по смягчению последствий и рекомендации

Специалистам по безопасности рекомендуется незамедлительно принять меры для снижения рисков, связанных с CVE-2025-8088:

  1. Управление обновлениями

    • Обновите WinRAR до версии 7.0.1 или новее, чтобы устранить уязвимость.
    • Внедрите инструменты автоматического управления обновлениями для своевременного патчинга всех конечных точек.

  2. Безопасность электронной почты

    • Блокируйте или помещайте в карантин архивные файлы (.RAR, .ZIP) из ненадёжных источников.
    • Используйте песочницы (sandboxing) для анализа подозрительных вложений перед их доставкой пользователям.

  3. Защита конечных точек

    • Внедрите белые списки приложений, чтобы предотвратить несанкционированное выполнение WinRAR или других архиваторов.
    • Мониторьте необычную активность процессов, особенно в папке автозагрузки или других путях автоматического запуска.

  4. Поиск угроз (Threat Hunting)

    • Ищите индикаторы компрометации (IOC), связанные с Amaranth Dragon, включая:
      • Вредоносные архивные файлы с аномальной структурой
      • Необычные сетевые подключения к известным командным серверам (C2) APT41
      • Механизмы постоянного доступа в реестре или запланированных задачах

  5. Обучение пользователей

    • Проводите тренинги по фишингу для обучения сотрудников распознаванию вредоносных вложений.
    • Подчёркивайте риски открытия незапрошенных архивов, даже если они кажутся отправленными из легитимных источников.

Заключение

Эксплуатация CVE-2025-8088 группой Amaranth Dragon подчёркивает критическую необходимость проактивного управления уязвимостями в секторах повышенного риска. Организациям следует уделять первоочередное внимание гигиене патчей, безопасности электронной почты и мониторингу конечных точек, чтобы защититься от сложных кибершпионских кампаний. Поскольку государственные хакеры продолжают совершенствовать свои тактики, специалистам по безопасности необходимо сохранять бдительность в отношении новых уязвимостей нулевого дня в широко используемом ПО.

Дополнительные сведения можно найти в оригинальном отчёте на BleepingComputer.

Поделиться

TwitterLinkedIn