Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

WinRAR Flaw Exploited by Russia-Aligned Groups to Deploy Stealers in Ukraine

1 minute de lecture

Mis à jour :

Persistance de l’exploitation de la faille WinRAR contre des organisations ukrainiennes

Des groupes cybercriminels alignés sur la Russie, notamment Earth Dahu (Gamaredon) et SHADOW-EARTH-066 (UAC-0226), continuent d’exploiter activement une vulnérabilité critique de WinRAR, bien qu’un correctif soit disponible depuis juillet 2025. Cette situation souligne les risques liés au maintien de logiciels non mis à jour au sein des infrastructures critiques.

Points clés :

  • Mode opératoire : Les attaquants utilisent des archives RAR piégées contenant un document PDF légitime associé à des charges utiles cachées via des flux de données alternatifs (NTFS ADS).
  • Objectifs : Déploiement de logiciels espions et de voleurs d’informations (GIFTEDCROOK, GammaSteel) pour exfiltrer des identifiants de navigateurs et des documents sensibles.
  • Évolution technique : Abandon de l’exfiltration via Telegram au profit de serveurs de commande et de contrôle (C2) dédiés, permettant une meilleure persistance.
  • Persistance : Utilisation de fichiers LNK dans le dossier de démarrage ou de scripts VBScript pour assurer une exécution automatique lors de la connexion de l’utilisateur.

Vulnérabilité identifiée :

  • CVE-2025-8088 : Faille de type “path traversal” (traversée de chemin) permettant d’écrire des fichiers en dehors du répertoire d’extraction via les flux de données alternatifs NTFS.

Recommandations :

  • Mise à jour immédiate : Appliquer les correctifs de sécurité pour WinRAR et s’assurer que toutes les versions déployées dans l’organisation sont à jour (versions post-juillet 2025).
  • Gestion des logiciels : Mettre en place une politique rigoureuse de gestion des correctifs (patch management) pour identifier et mettre à niveau les logiciels tiers non administrés.
  • Surveillance : Surveiller les processus suspects tels que l’exécution de PowerShell initiée par des archives compressées ou la création inattendue de fichiers dans les dossiers de démarrage système.
  • Analyse comportementale : Renforcer la détection au niveau des points de terminaison pour identifier le chargement de DLL en mémoire et les activités d’exfiltration vers des serveurs inconnus.

Source

Vous pourriez aimer