Các nhóm tin tặc liên quan đến Nga đang khai thác một lỗ hổng CVE đã biết trong WinRAR để đánh cắp thông tin nhạy cảm, bao gồm mật khẩu, cookie phiên và các tệp tin quan trọng từ các tổ chức tại Ukraine. Lỗ hổng này, được theo dõi với định danh CVE-2025-8088, đã được vá lỗi vào tháng 7 năm 2025. Tuy nhiên, gần một năm sau, nhiều nhóm tấn công vẫn đang vũ khí hóa lỗ hổng này, chứng minh rằng phần mềm chưa được cập nhật là một trong những điểm xâm nhập hiệu quả nhất cho các đối tượng tấn công có mục tiêu rõ ràng.
Kỹ Thuật Khai Thác Lỗ Hổng WinRAR
Hai chiến dịch xâm nhập độc lập đã được ghi nhận, cả hai đều nhắm vào cùng một lỗ hổng. Nhóm đầu tiên, được định danh là SHADOW-EARTH-066 và theo dõi bởi CERT-UA là UAC-0226, đã triển khai một phiên bản cập nhật của công cụ đánh cắp thông tin GIFTEDCROOK. Nhóm thứ hai là Earth Dahu, còn được biết đến với tên Gamaredon, một trong những nhóm hoạt động tích cực nhất nhắm vào Ukraine kể từ năm 2013. Cả hai nhóm đều tiếp tục tạo ra các mẫu khai thác mới cho đến ít nhất là tháng 4 năm 2026.
Các nhà phân tích bảo mật cho biết cả hai chiến dịch đều khai thác CVE-2025-8088 thông qua các tệp lưu trữ RAR độc hại được phân phối qua các email lừa đảo (spear-phishing). Khi người dùng mở tệp lưu trữ bằng phiên bản WinRAR cũ, một tệp PDF giả mạo sẽ hiển thị trên màn hình, trong khi các tệp độc hại được âm thầm đưa vào thư mục Startup của Windows. Không có cảnh báo nào xuất hiện, và khi người dùng đăng nhập lần tiếp theo, chuỗi mã độc sẽ tự động thực thi.
Chi tiết Kỹ Thuật CVE-2025-8088
CVE-2025-8088 là một lỗ hổng dạng path traversal, được đánh giá với điểm số CVSS 8.4. Lỗ hổng này cho phép kẻ tấn công ghi tệp tin ra ngoài thư mục giải nén một cách âm thầm bằng cách sử dụng tính năng NTFS Alternate Data Streams (ADS). Các tệp lưu trữ độc hại chứa một tệp PDF hiển thị rõ ràng cùng với ba thành phần tải trọng ẩn. Chúng bao gồm một tệp LNK được đặt vào thư mục Startup, một bộ tải PowerShell vào thư mục C:\ProgramData, và một tệp DLL được mã hóa tại cùng vị trí.
Tại lần đăng nhập tiếp theo, tệp LNK sẽ kích hoạt một phiên PowerShell lồng nhau. Phiên này giải mã và tải toàn bộ mã độc cuối cùng vào bộ nhớ bằng cách sử dụng các lệnh gọi hệ thống trực tiếp (direct NT system calls), giúp bỏ qua các điểm giám sát API thông thường. Mã độc cuối cùng là một tệp DLL có tên nội bộ là result.dll, là phiên bản phát triển của GIFTEDCROOK. Công cụ này nhắm mục tiêu vào các trình duyệt như Chrome, Edge, Opera và Firefox, đánh cắp mật khẩu, cookie phiên, và khóa giải mã chính. Đồng thời, nó quét các tệp tin với 35 loại phần mở rộng khác nhau, bao gồm bảng tính, tệp email và cơ sở dữ liệu KeePass.
Dữ liệu bị đánh cắp được mã hóa bằng RC4 hai lớp và truyền qua giao thức HTTPS đến các máy chủ điều khiển và chỉ huy (C&C) chuyên dụng. Sau khi exfiltration, mã độc sẽ xóa tất cả các tệp tạm thời và gỡ bỏ mục nhập trong thư mục Startup, hầu như không để lại dấu vết trên hệ thống bị xâm nhập. Phiên bản GIFTEDCROOK gốc, được ghi nhận vào tháng 4 năm 2025, là một tệp thực thi độc lập gửi thông tin đăng nhập bị đánh cắp qua một bot Telegram được mã hóa cứng với các token văn bản thuần túy.
Đến tháng 2 năm 2026, SHADOW-EARTH-066 đã chuyển sang chuỗi khai thác WinRAR và thay thế Telegram bằng giao tiếp HTTPS được mã hóa, trỏ đến các máy chủ C&C đặt tại Pháp, Hà Lan và Thụy Sĩ. Bản cập nhật này cũng bổ sung khả năng vượt qua cơ chế mã hóa cho Chrome App-Bound, cho thấy nhà phát triển đang tích cực theo dõi các thay đổi bảo mật của trình duyệt.
Các Nhóm Tấn Công và Công Cụ
SHADOW-EARTH-066 đã nhắm mục tiêu vào các trung tâm đổi mới quân sự, cơ quan thực thi pháp luật và các cơ quan chính phủ địa phương gần biên giới phía đông của Ukraine. Trong khi đó, Earth Dahu sử dụng cùng một lỗ hổng để phân phối các công cụ gián điệp thông qua các tệp HTML Application (HTA) được tải qua Cloudflare Workers. Mặc dù sử dụng các bộ công cụ khác nhau, cả hai nhóm đều dựa vào cùng một điểm truy cập chưa được vá lỗi.
Ngoài ra, các tác nhân độc hại khác có liên quan đã khai thác lỗ hổng tương tự, bao gồm Sandworm, Turla và Void Rabisu. Việc tiếp tục lạm dụng một lỗ hổng đã được vá lỗi nhấn mạnh một khoảng trống bảo mật quan trọng: WinRAR không hỗ trợ cập nhật tự động hoặc các kênh quản lý bản vá tiêu chuẩn của doanh nghiệp, khiến các tổ chức dễ dàng bỏ sót các phiên bản dễ bị tấn công mà không bị phát hiện.
IOCs – Indicators of Compromise
Các tệp tải PowerShell thường bị làm rối (obfuscated) với tên hàm ngẫu nhiên, các dòng chú thích rác và độ trễ ngủ (sleep delays) để tránh bị phân tích trong môi trường sandbox. Tệp DLL được mã hóa không bao giờ được ghi ra đĩa ở dạng giải mã, làm cho việc phát hiện dựa trên tệp đối với mã độc cuối cùng trở nên rất khó khăn. Dưới đây là một số chỉ số về sự xâm nhập (IoCs) đã được ghi nhận:
- Tệp Tải Mã Độc: Các tệp HTA hoặc LNK với tên ngẫu nhiên trong thư mục Startup.
- Tệp Nhị Phân Ngắn Hạn: Các tệp ngắn, có tên chữ và số trong
C:\ProgramData(ví dụ: KKN, ND8). - Mã Độc Cuối Cùng: Tệp DLL có tên nội bộ là
result.dll. - Giao Thức Liên Lạc: HTTPS cho việc exfiltration dữ liệu.
- Máy Chủ C&C: Các địa chỉ IP và tên miền liên quan đến các máy chủ điều khiển và chỉ huy (cần tham khảo nguồn tin tức bảo mật chi tiết để có danh sách đầy đủ và cập nhật).
Lưu ý: Địa chỉ IP và tên miền được làm mờ để tránh phân giải hoặc liên kết ngoài ý muốn. Chỉ làm rõ chúng trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Các Biện Pháp Phòng Ngừa và Ứng Phó
Các nhóm bảo mật nên ngay lập tức xác minh phiên bản WinRAR trên tất cả các điểm cuối và triển khai phiên bản 7.13 trở lên. Các tổ chức nên rà soát các tệp LNK hoặc HTA có tên ngẫu nhiên trong thư mục Startup, kiểm tra C:\ProgramData để tìm các tệp chữ và số ngắn như KKN hoặc ND8, và chặn các địa chỉ IP C&C đã biết tại biên mạng.
Đối với bất kỳ trường hợp xâm nhập nào được xác nhận, thông tin đăng nhập trình duyệt đã lưu và các phiên hoạt động cần được xoay vòng. Đồng thời, tính năng xác thực đa yếu tố (MFA) nên được bật trên tất cả các tài khoản quan trọng để tăng cường **an toàn thông tin**.
Việc theo dõi các cảnh báo CVE mới nhất và đảm bảo cập nhật bản vá kịp thời là vô cùng quan trọng để giảm thiểu rủi ro từ các cuộc tấn công mạng. Khuyến khích áp dụng các giải pháp bảo mật chủ động như hệ thống phát hiện xâm nhập (IDS) và các công cụ giám sát hành vi người dùng và thực thể (UEBA) để có thể phát hiện sớm các hoạt động bất thường.
Để có thêm thông tin chi tiết và các bản cập nhật liên tục về các mối đe dọa mạng, độc giả có thể tham khảo các báo cáo từ các tổ chức uy tín như CISA.
