Duas campanhas de ataque cibernético alinhadas à Rússia continuam explorando uma falha de segurança no WinRAR para atingir organizações ucranianas, quase um ano após os patches para a vulnerabilidade serem lançados. A atividade foi atribuída pela Trend Micro ao Earth Dahu (também conhecido como Gamaredon) e SHADOW-EARTH-066 (também conhecido como UAC-0226). Envolve a exploração do CVE-2025-8088, uma falha de travessia de caminho que permite execução remota de código.
Contexto da vulnerabilidade e exploração
O CVE-2025-8088 é uma falha de travessia de caminho (path traversal) no WinRAR que permite que atacantes acessem arquivos fora do diretório pretendido. Embora um patch tenha sido liberado há quase um ano, as campanhas de ataque continuam a explorar essa falha, indicando que muitas organizações não aplicaram a correção ou estão utilizando versões desatualizadas do software.
A exploração dessa vulnerabilidade permite que os atacantes implantem stealers, que são malwares projetados para roubar credenciais, chaves de criptomoedas e outros dados sensíveis diretamente dos sistemas comprometidos. A persistência da exploração sugere uma campanha de longo prazo focada em inteligência e roubo de dados.
Grupos de ameaças envolvidos
O Earth Dahu (Gamaredon) é um grupo de ameaças conhecido por realizar operações de espionagem cibernética, frequentemente associadas a interesses russos. O SHADOW-EARTH-066 (UAC-0226) é outro grupo atribuído a atividades similares. A cooperação entre esses grupos na exploração de uma vulnerabilidade de software de uso comum como o WinRAR demonstra a sofisticação e a persistência das operações de cibercrime apoiadas por estados.
A escolha do WinRAR como vetor é estratégica devido à sua ampla base instalada em ambientes corporativos e governamentais. A falha de travessia de caminho é particularmente perigosa porque pode ser explorada sem interação do usuário em certas configurações, facilitando a infecção inicial.
Impacto nas organizações ucranianas
O foco nas organizações ucranianas coloca em risco a infraestrutura crítica e a segurança nacional. O roubo de credenciais e dados sensíveis pode comprometer operações militares, governamentais e de defesa civil. A persistência da campanha, mesmo após a liberação do patch, destaca a necessidade de monitoramento contínuo e aplicação rigorosa de patches de segurança.
As organizações afetadas devem verificar imediatamente se suas instâncias do WinRAR estão atualizadas e monitorar logs de sistema em busca de atividades suspeitas relacionadas à execução de arquivos ou acesso não autorizado a diretórios.
Recomendações para CISOs
Os CISOs devem priorizar a atualização do WinRAR para a versão mais recente que corrige o CVE-2025-8088. Além disso, é recomendável implementar controles de acesso restritos e monitorar o tráfego de rede para detectar comunicações suspeitas com servidores de comando e controle. A segmentação de rede também pode ajudar a limitar o movimento lateral caso uma infecção ocorra.
O que fazer agora
- Atualize o WinRAR: Aplique o patch mais recente imediatamente.
- Monitore logs: Procure por atividades de arquivo suspeitas.
- Verifique endpoints: Use ferramentas de EDR para detectar stealers.
- Eduque usuários: Conscientize sobre a importância de atualizações de software.