طبق گزارش شرکت Trend Micro، دو کمپین سایبری وابسته به گروههای همسو با روسیه با سوءاستفاده از آسیبپذیری WinRAR، حملات جدیدی را با هدف سرقت اطلاعات و جاسوسی سایبری علیه سازمانهای اوکراینی اجرا کردهاند. بررسیها نشان میدهد آسیبپذیری WinRAR با شناسه CVE-2025-8088، با وجود انتشار پچ امنیتی آن در جولای 2025، همچنان توسط گروههای Earth Dahu (معروف به Gamaredon) و SHADOW-EARTH-066 (معروف به UAC-0226) مورد سوءاستفاده قرار میگیرد. این آسیبپذیری از نوع پیمایش مسیر (Path Traversal) است و به مهاجمان اجازه میدهد از طریق استریمهای داده جایگزین NTFS (NTFS Alternate Data Streams یا ADS)، فایلهای مخرب را خارج از مسیر استخراج آرشیو ایجاد و اجرا کنند.
سوءاستفاده از آسیبپذیری WinRAR برای توزیع نسخه جدید GIFTEDCROOK
سوءاستفاده از آسیبپذیری WinRAR در کمپینهای اخیر گروه SHADOW-EARTH-066، نشاندهنده تغییر قابل توجه در تاکتیکهای این عامل تهدید است. این گروه پیشتر برای توزیع بدافزار رباینده اطلاعات موسوم به GIFTEDCROOK از دراپرهای مبتنی بر ماکروهای اکسل (Excel Macro Droppers) استفاده میکرد، اما در نسخه جدید حملات خود به سراغ رویکردی متفاوت رفته است.
در این روش، مهاجمان از آرشیوهای RAR دستکاریشده استفاده میکنند که حاوی یک فایل PDF فریبنده و سه پیلود مخفی هستند. این پیلودها با سوءاستفاده از ADS خارج از مسیر استخراج آرشیو قرار میگیرند و زنجیره آلودگی را آغاز میکنند.
این زنجیره شامل یک فایل میانبر ویندوز (LNK) است که در پوشه Startup سیستم قرار داده میشود تا در هر بار ورود کاربر به ویندوز، بهصورت خودکار اجرا گردد. در ادامه این فایل از طریق cmd.exe یک لودر پاورشل را اجرا میکند. لودر مذکور نیز با بهرهگیری از بارگذاری DLL در حافظه، در نهایت نسخه بهروزرسانیشده بدافزار GIFTEDCROOK با نام result.dll را اجرا میکند.
قابلیتهای سرقت اطلاعات و تغییر زیرساخت ارتباطی مهاجمان
بدافزار GIFTEDCROOK پس از سوءاستفاده موفق از آسیبپذیری WinRAR، علاوه بر سرقت رمزهای عبور و کوکیهای ذخیرهشده در مرورگرهای مبتنی بر کرومیوم (Chromium) از جمله گوگل کروم، مایکروسافت اج (Microsoft Edge) و اپرا (Opera)، مرورگر موزیلا فایرفاکس را نیز هدف قرار میدهد. همچنین این بدافزار قادر است اسناد دارای پسوندهای مشخص را از سیستم قربانی جمعآوری کند.
پس از انتقال دادههای سرقتشده به یک سرور خارجی، تمامی آرتیفکتهای مخرب از سیستم حذف میشوند تا ردپای فعالیت مهاجمان از بین رفته و شناسایی شواهد در بررسیهای فارنزیک با چالش بیشتری همراه شود.
یکی از تغییرات قابل توجه در نسخه جدید این بدافزار، استفاده از سرورهای اختصاصی فرماندهی و کنترل (C2) بهجای تلگرام برای انتقال دادههای سرقتشده است. به اعتقاد پژوهشگران، این تغییر استراتژیک، احتمالاً ناشی از مسدودسازی پلتفرم تلگرام توسط دولت روسیه در ماه فوریه سال جاری باشد.
نقش آسیبپذیری WinRAR در عملیات Earth Dahu
Earth Dahu دومین گروه تهدید سایبری همسو با روسیه است که از آسیبپذیری WinRAR بهعنوان بخشی از ابزارهای عملیاتی خود استفاده کرده است. شواهد نشان میدهد این گروه از سپتامبر 2025 این ضعف امنیتی را در حملات خود بهکار گرفته و بهطور مستمر از آن برای پیشبرد فعالیتهای سایبری استفاده کرده است. Earth Dahu بهدلیل تمرکز بر حفظ دسترسی پایدار و بلندمدت به سازمانهای هدف، یکی از عوامل تهدید شناختهشده در حوزه جاسوسی سایبری محسوب میشود.
به گفته پژوهشگران Trend Micro، این گروه از آسیبپذیری مذکور در قالب یک زنجیره آلودگی مبتنی بر HTA و VBScript استفاده کرده و در نهایت ماژولهای جاسوسی را روی سیستم قربانی مستقر میکند.
همچنین این شرکت اعلام کرد، بررسی برچسبهای زمانی (Timestamps) فایلهای داخلی آرشیوهای RAR و الگوهای نامگذاری آنها نشان میدهد که این زنجیره آلودگی دستکم تا 10 آوریل 2026 همچنان فعال بوده است
زنجیره آلودگی GammaPhish و استقرار ماژولهای جاسوسی
بر اساس گزارش Sekoia، حملاتی که از آسیبپذیری WinRAR سوءاستفاده میکنند، در نهایت منجر به استقرار GammaPhish میشوند؛ GammaPhish یک اپلیکیشن HTML است که وظیفه دریافت دانلودر VBScript موسوم به GammaLoad را بر عهده دارد. این دانلودر در ادامه ماژولهای دیگری از جمله GammaSteel را روی سیستم قربانی مستقر میکند.
GammaLoad مجموعهای از VBScriptها است که با هدف حفظ دسترسی مداوم به سیستمهای آلوده و استقرار تدریجی پیلودها در طول زمان طراحی شده است. این ابزار برای انجام این عملیات از مکانیزمی با نام Dead Drop Resolvers (DDR) بهره میبرد.
به گفته پژوهشگران، GammaLoad یک دراپر (Dropper) را مستقر میکند که وظیفه اجرای لودر مبتنی بر VBScript را بر عهده دارد. این لودر در نهایت GammaSteel را اجرا میکند. GammaSteel یک بدافزار جامع رباینده اطلاعات است که میتواند بهصورت بلادرنگ تغییرات فایلها را مانیتور کند.
سازمانهای اوکراینی هدفی جذاب برای مهاجمان
به گفته Trend Micro، نقش قابلتوجه WinRAR در فعالیتهای روزمره سازمانهای اوکراینی باعث شده این نرمافزار به هدفی جذاب برای مهاجمان سایبری تبدیل شود. این شرکت تأکید میکند که وابستگی گسترده به WinRAR در فرآیندهای عملیاتی، سطح حمله (Attack Surface) را به شکل قابل توجهی افزایش داده است. همچنین Trend Micro اشاره کرده است که تمرکز همزمان گروههای دولتی و عوامل تهدید مستقل بر یک آسیبپذیری واحد، نشاندهنده ابعاد گسترده تهدیدات سایبری علیه اوکراین است.
