Gamaredon 利用 WinRAR 漏洞对乌克兰目标发起模块化间谍攻击

Gamaredon 利用 WinRAR 漏洞向乌克兰目标投递近乎无文件的模块化恶意软件，将载荷隐藏在 Windows 数据流中，并通过 Telegram 解析 C2 地址。

Sekoia 的威胁检测与研究团队于 2025 年 12 月底发布了一条 YARA 规则，用于搜寻新的初始访问向量。到 2026 年 1 月，该规则已产生十几次命中。Sekoia 研究人员发现了一条 Gamaredon 的感染链，其模块化程度、隐蔽性和持久性均超过该组织此前公开的任何攻击。本文为三部分系列的第一部分；第二、三部分将分别介绍 GammaLoad 和 GammaSteel。

与俄罗斯有关的 APT 组织 Gamaredon（又名 Armageddon、Primitive Bear、ACTINIUM、Callisto）自 2014 年以来一直活跃，其活动主要针对乌克兰。

该组织被乌克兰安全局认定为与 FSB 有关联。它最初使用 Remote Manipulator System RAT 等现成工具，随后转向名为 Pteranodon 的自定义框架，并逐渐分裂为多个独立的模块化恶意软件家族。Sekoia 现已使用“Gamma”前缀统一命名：GammaPhish 负责初始访问，GammaLoad 负责 staging，GammaWorm 负责传播，GammaSteel 负责数据窃取，GammaWipe 负责破坏。该组织十年来目标未变，只是变得更善于隐藏。

2026 年 1 月，专家观察到威胁行为者使用了一个武器化的 XHTML 文件，很可能通过鱼叉式钓鱼附件投递。打开该文件会静默触发一个指向 Supabase 端点的 1×1 像素跟踪请求，向攻击者确认受害者打开了诱饵。这种跟踪技术至少可追溯到 2018 年，这说明只要基础手段仍然有效，Gamaredon 就几乎不需要创新。

随后，该 XHTML 文件利用 HTML 走私技术投递一个 RAR 压缩包，该压缩包利用了 CVE-2025-8088 漏洞——这是一个 WinRAR 中的关键路径遍历漏洞，已在 7.13 版本中修复。该压缩包看似只包含一个 PDF 文件。

Sekoia 发布的报告指出：「GammaPhish（初始访问）：通过基于 YARA 的狩猎，我们识别出一组武器化的 xHTML 文件，它们分发恶意的 RAR 压缩包。该压缩包利用 CVE-2025-8088 漏洞将一个隐藏的 HTA 文件直接解压到用户的 Windows 启动目录中。执行时，该 HTA 文件会利用 mshta.exe 调用托管在 C2 服务器上的远程载荷。」

该压缩包实际包含两个文件：一个可见的诱饵文件，以及一个利用路径遍历直接解压到用户 Windows 启动文件夹中的 HTA 文件。下次登录时，Windows 会自动执行它。谷歌威胁情报小组在同一时间段内记录了 Sandworm、Turla 和 Gamaredon 利用同一漏洞的情况，这表明该漏洞公开后在俄罗斯各攻击者之间快速传播。

该 HTA 文件运行 mshta.exe，并附带一个包含 www.bbc.com 的 URL，使其在网络日志中看似合法。该 URL 获取 GammaLoad，即中间的 staging 层。由于测试期间 C2 服务器无响应，Sekoia 未能直接从该阶段获取 GammaLoad，但来自受害主机的取证工件补全了全貌。

报告继续写道：「GammaLoad（Staging）：我们从受害主机中恢复了多个 VBScript 加载器。这些加载器似乎以连续级联的方式运行，我们在分析中观察到四个不同的执行阶段。它们的主要目标是：对主机系统进行指纹识别、使用死信解析器（DDR）更新注册表中的网络配置、从 C2 服务器获取并执行任意的 VBScript 载荷。」

GammaWorm 是传播组件，也是技术上最有趣的部分。它是一个 VBScript 载荷，去混淆后代码超过 20000 行，其中绝大部分是旨在消耗分析人员精力的垃圾代码。它不投递传统文件，而是将其核心模块写入 NTFS 备用数据流（ADS）——这是 Windows 的一个原生特性，允许数据不可见地附加在文件夹路径上，标准目录列表无法显示，用户可见的文件大小也不体现这些数据。普通的 dir 命令无法显示它们。

该恶意软件通过三个计划任务维持持久性，这些任务借用了合法 Windows 服务的名称：DiskDiagnosticDataCollector、SilentCleanup 和 SmartRetry。每个任务以 7 到 10 分钟的短间隔执行不同的 ADS 模块。GammaWorm 还会写入一个 RunOnce 注册表项，在每次用户登录时重新创建自身——因为 GammaWorm 会在 RunOnce 条目被删除之前重写该键值。相当巧妙。

传播模块针对 USB 驱动器和网络共享。它将真实文件夹的属性设置为“隐藏”和“系统”，然后用同名的恶意 LNK 快捷方式文件替换它们，并使用相同的文件夹名称和图标。点击 LNK 会在资源管理器中打开真实文件夹，因此用户看不出任何异常，同时静默执行 ~.gif——这是每个受感染驱动器根目录下的蠕虫文件。诱饵 LNK 的文件名采用乌克兰语，涵盖从“草稿 letter.doc”、“分发 sheet.doc”等公文类名称到故意令人震惊、旨在诱使用户点击的文件名。国家级攻击者和社会工程学同样精通。

为了找到其 C2 地址，GammaWorm 对硬编码的公共 Telegram 频道执行 curl 命令，解析 HTML 以获取混淆后的 IP 地址，并通过随机化的 HTTP 头部（具体位于 User-Agent 字符串中）回传受害主机的机器指纹。没有请求体，只有头部。

C2 解析链本身是多层的：它依次经过 graph.org、Cloudflare Workers、Teletype、Telegra.ph 和 Telegram，最终到达攻击者控制的服务器。每个解析出的 URL 都会写入注册表，供下一阶段读取。如果 C2 返回 HTTP 200，它会执行响应体中的任意 VBScript。如果返回 404，这实际上是一次配置更新——没错，他们将 404 响应重新用作信号机制。

Sekoia 表示：「这条感染链展现了一个弹性的、庞大的、高度混淆的模块化设计。由于其适应性以及攻击者动态更新配置的能力，该架构极有可能在未来被再次使用。」

Sekoia 的这一评估并非猜测：该链的每一个阶段都独立保留了获取并执行任意远程代码的能力，这意味着即使防御者清理了一个层面，其他层面仍会继续运行。

该组织「还长期使用某些技术，例如嵌入 1×1 跟踪像素以确认受害者互动、利用压缩包路径遍历漏洞，以及通过 USB 驱动器进行物理传播」。

其延续性令人震惊。新变化在于基础设施的隐蔽性：几乎完全在内存中运行、将载荷存储在 ADS 中、通过 Telegram 和 Cloudflare 解析 C2、通过 HTTP 头部而非请求体窃取数据。Sekoia 指出，对于任何确认被该链感染的主机，最安全的修复路径是彻底重装系统，因为 GammaWorm 的死信解析机制使得攻击者推送新载荷的速度快于清理尝试的速度。

IOC（包括 GammaPhish 和 GammaWorm 的文件哈希值、死信解析器 URL 以及唯一已确认的 C2 IP）已在 Sekoia 报告末尾公布。完整的指标集（包括网络基础设施）可通过 Sekoia 的情报订阅获取。

报告总结道：「有趣的是，尽管 Gamaredon 引入了新能力，它们仍然持续回收利用旧战术。然而，这次攻击活动标志着 Gamaredon 较此前记录的攻击在技术上显著升级。向几乎完全无文件、由 VBScript 驱动的『套娃』架构的明确过渡，加上对 NTFS 备用数据流（ADS）的大量滥用，表明其付出了协同努力，以绕过自动化沙箱、增加取证取证难度，并最终消耗防御者的精力。」