亲俄黑客组织利用 WinRAR 漏洞在乌克兰部署窃密木马

两个亲俄网络攻击活动持续利用 WinRAR 中的一个安全漏洞针对乌克兰组织，距离该漏洞的补丁发布已近一年。

Trend Micro 将这两起活动归因于 Earth Dahu（又名 Gamaredon）和 SHADOW-EARTH-066（又名 UAC-0226）。攻击涉及利用 CVE-2025-8088，这是一个路径遍历漏洞，允许攻击者通过 NTFS 备用数据流（ADS）将文件写入提取目录之外。WinRAR 于 2025 年 7 月修复了该漏洞。

这些发现表明“未受管理的软件在补丁发布后仍长期保持着一个可利用的入口点，”Trend Micro 研究员 Hiroyuki Kakara 和 Feike Hacquebord 在周一发布的分析报告中表示。

SHADOW-EARTH-066 利用的 WinRAR 漏洞链与其之前使用的 Excel 宏投放器有所不同，该组织此前曾使用 Excel 宏投放器来传播名为 GIFTEDCROOK 的信息窃取器。最新版本使用特制的 RAR 压缩包，其中包含一个诱饵 PDF 文档和三个位于提取目录之外的隐藏 ADS 载荷，以启动感染。

这包括一个放置在启动文件夹中的 Windows 快捷方式（LNK）文件，以便在用户每次登录时自动执行。该文件随后通过 cmd.exe 生成一个 PowerShell 加载器，然后使用内存中 DLL 加载最终启动更新版本的 GIFTEDCROOK（result.dll）。

该恶意软件针对 Chromium 内核浏览器（Google Chrome、Microsoft Edge 和 Opera）以及 Mozilla Firefox 的密码和 cookies，同时还从受害者机器上收集匹配特定扩展名的文档。一旦数据被外泄到外部服务器，所有恶意文件都会被删除以掩盖取证痕迹。

一个显著的变化是从使用 Telegram 作为外泄渠道转向了专用的命令与控制（C2）服务器，这一关键修改很可能与俄罗斯今年 2 月在该国封锁该消息平台有关。

第二个将 CVE-2025-8088 武器化的亲俄黑客组织是 Earth Dahu，该组织至少从 2025 年 9 月起就将该漏洞纳入其武器库。该对手以其“工业级规模”的努力来维持对受感染组织的长期访问而闻名。

“Earth Dahu 利用该漏洞配合 HTA 到 VBScript 的感染链，投放间谍模块，”Trend Micro 指出。“根据 RAR 内部文件时间戳和文件命名惯例，该链至少持续活跃到 2026 年 4 月 10 日。”

这些攻击（Sekoia 上周也记录了类似情况）导致部署了 GammaPhish（一个 HTML Application，HTA），随后用于检索名为 GammaLoad 的 VBScript 下载器。该中间下载器随后会投放 GammaSteel 等其他模块。

GammaLoad 是“一组 VBScript，旨在通过利用 Dead Drop Resolvers（DDR）确保持续访问并随时间部署载荷，”Sekoia 表示，并补充说它被用于部署一个投放器，该投放器旨在启动一个负责执行 GammaSteel 的 VBScript 加载器。GammaSteel 是一个全面的信息窃取器，可以实时监控文件更改。

“WinRAR 深深嵌入乌克兰组织的日常运营中，使其成为极具吸引力的利用目标，”Trend Micro 表示。“既有国家级背景的组织与独立追踪的集群在单个漏洞上的汇聚，反映了乌克兰面临的网络威胁的规模。”