الثغرة المستغلة تحمل الرمز CVE-2025-8088، وهي ثغرة Path Traversal في برنامج WinRAR تسمح للمهاجم بكتابة ملفات خارج مجلد الاستخراج عبر ميزة NTFS Alternate Data Streams (ADS). ورغم أن الشركة أصدرت إصلاحًا لها في يوليو 2025، إلا أن استمرار استخدام نسخ غير مُدارة من البرنامج أبقى الباب مفتوحًا أمام الهجمات.
المجموعات المتورطة
- SHADOW-EARTH-066 (UAC-0226): استغلت الثغرة عبر أرشيفات RAR مزيفة تحتوي على ملف PDF خداعي وثلاثة حمولة ADS مخفية. هذه السلسلة تنتهي بزرع ملف LNK في مجلد بدء التشغيل، ليُشغّل تلقائيًا عند تسجيل الدخول، ويستدعي محمل PowerShell عبر cmd.exe، ثم يُحمّل مكتبة DLL في الذاكرة لتشغيل نسخة محدثة من أداة سرقة المعلومات GIFTEDCROOK.
- Earth Dahu (Gamaredon): استخدمت الثغرة ضمن سلسلة HTA-to-VBScript لنشر وحدات تجسس مثل GammaPhish وGammaLoad وGammaSteel، مع اعتماد تقنيات مثل Dead Drop Resolvers (DDR) لضمان الوصول المستمر ونشر الحمولة على مراحل.
أهداف البرمجيات الخبيثة
البرمجيات المستغلة تستهدف:
- كلمات المرور وملفات تعريف الارتباط من متصفحات Chromium (كروم، إيدج، أوبرا) وFirefox.
- مستندات بامتدادات محددة من أجهزة الضحايا.
- أسرار المؤسسات عبر GitHub Actions أو أنظمة CI/CD.
بعد سرقة البيانات، تُحذف الآثار الخبيثة لإخفاء الأدلة، في تحول ملحوظ عن استخدام قنوات مثل Telegram سابقًا، حيث انتقلت المجموعات إلى خوادم C2 مخصصة.
دلالات الهجوم
- استمرار استغلال ثغرة قديمة بعد عام من ترقيعها يوضح خطورة البرمجيات غير المُدارة في المؤسسات.
- اعتماد مجموعات روسية على نفس الثغرة يعكس حجم التهديدات التي تواجهها أوكرانيا، حيث يُستغل برنامج شائع الاستخدام مثل WinRAR كمدخل واسع الانتشار.
- التغيير في قنوات الاتصال (من Telegram إلى خوادم C2) يعكس تكيف المهاجمين مع القيود المحلية والسياسية.
