O grupo de hacking russo conhecido como Gamaredon foi atribuído à exploração contínua de uma vulnerabilidade do WinRAR para entregar múltiplas famílias de malware destinadas ao roubo de dados e propagação. Per Sekoia, a atividade envolve a armação da CVE-2025-8088, uma falha de travessia de caminho no WinRAR, para lançar um payload de Aplicação HTML denominado GammaPhish, que é então usado para recuperar um payload secundário.
Exploração da vulnerabilidade WinRAR
A vulnerabilidade CVE-2025-8088 é uma falha de travessia de caminho no WinRAR que permite que atacantes maliciosos acessem arquivos fora do diretório de extração pretendido. O grupo Gamaredon tem sido ativo na exploração de vulnerabilidades de software para entregar malware sofisticado. A exploração desta falha específica permite a execução de código arbitrário no sistema da vítima.
O payload GammaPhish é uma Aplicação HTML que, quando executada, busca baixar e executar payloads adicionais. Este método de entrega é comum entre grupos de APT que visam alvos específicos na Ucrânia e na Europa Oriental. A exploração do WinRAR é particularmente eficaz devido à sua ampla base instalada em ambientes corporativos e governamentais.
Famílias de malware GammaWorm e GammaSteel
O GammaWorm é um worm que se propaga através de redes locais e dispositivos de armazenamento removível, enquanto o GammaSteel é um backdoor que fornece acesso remoto persistente. A combinação dessas duas famílias de malware permite que os atacantes estabeleçam uma presença duradoura nos sistemas comprometidos e exfiltrem dados sensíveis.
A campanha de Gamaredon tem sido direcionada a organizações governamentais e de infraestrutura crítica na Ucrânia. O uso de malware sofisticado e técnicas de evasão avançadas indica um nível de recursos e planejamento significativo por parte dos atacantes.
Indicadores de comprometimento (IoCs)
Os seguintes indicadores foram identificados e devem ser monitorados:
- Vulnerabilidade: CVE-2025-8088 (WinRAR)
- Payload: GammaPhish (Aplicação HTML)
- Famílias de Malware: GammaWorm, GammaSteel
- Grupo de Ameaças: Gamaredon
Medidas de mitigação recomendadas
Administradores de sistemas devem atualizar o WinRAR para a versão mais recente que corrige a vulnerabilidade CVE-2025-8088. É recomendável desabilitar a execução automática de arquivos HTML e monitorar o tráfego de rede para atividades suspeitas. Equipes de segurança devem revisar os logs de acesso e verificar a integridade dos arquivos em sistemas críticos.
A implementação de soluções de detecção de intrusão baseadas em comportamento pode ajudar a identificar atividades maliciosas associadas ao GammaWorm e GammaSteel. A conscientização dos usuários sobre phishing e engenharia social é essencial para prevenir a execução inicial de payloads maliciosos.
Conclusão
A exploração contínua de vulnerabilidades de software por grupos de APT como o Gamaredon destaca a necessidade de manutenção proativa de segurança e monitoramento contínuo. A atualização regular de software e a implementação de controles de segurança robustos são fundamentais para mitigar riscos. CISOs devem priorizar a gestão de vulnerabilidades e a resposta a incidentes para proteger suas organizações contra ameaças avançadas.