WinRAR-Lücke CVE-2025-8088: Russische Hacker greifen Ukraine an

Cybersicherheitsforscher haben mehrere aktive Kampagnen russischer Hackergruppen aufgedeckt, die eine bekannte Schwachstelle im Archivierungsprogramm WinRAR ausnutzen. Die Angreifer zielen gezielt auf ukrainische Regierungs-, Militär- und Strafverfolgungsbehörden ab – und das, obwohl ein Sicherheitsupdate seit fast einem Jahr verfügbar ist.

Die ungepatchte Schwachstelle

Anzeige: Die WinRAR-Lücke CVE-2025-8088 wird aktiv von russischen Hackergruppen ausgenutzt – und das seit fast einem Jahr. Ohne zentrale Update-Funktion bleibt die Lücke in vielen Unternehmen offen. Dieser Report zeigt, wie Sie WinRAR-Updates durchsetzen, Kompromittierungsindikatoren erkennen und einen Notfallplan umsetzen. Jetzt kostenlosen Sicherheits-Report anfordern

Die als CVE-2025-8088 registrierte Sicherheitslücke ermöglicht einen sogenannten Path-Traversal-Angriff und erreicht einen CVSS-Schweregrad von 8,4 – die Einstufung gilt als „hochkritisch". Bereits im Juli 2025 veröffentlichte der Hersteller mit WinRAR Version 7.13 einen Patch. Doch wie die Sicherheitsanalysten von Trend Micro und Rescana am 8. und 9. Juni berichten, bleibt die Lücke ein wirksames Einfallstor für staatlich gesteuerte Angriffe.

Das Problem: WinRAR verfügt weder über eine zentrale automatische Update-Funktion noch über native Unterstützung für Gruppenrichtlinien. Für Unternehmen wird die Aktualisierung aller Installationen damit zur Herausforderung. Die Folge: Zahlreiche Systeme laufen weiterhin auf verwundbaren Versionen. Die Auswertungen zeigen, dass die Angriffe mindestens bis April dieses Jahres aktiv waren.

Zwei Hackergruppen im Visier

Die Sicherheitsforscher identifizierten zwei primäre Akteure hinter den Operationen: SHADOW-EARTH-066 (auch als UAC-0226 bekannt) und Earth Dahu (alias Gamaredon). Die Angriffskette beginnt in beiden Fällen mit Spear-Phishing-E-Mails, die manipulierte RAR5-Archive enthalten.

Diese Archive nutzen NTFS-Alternativdatenströme (ADS) für den Path-Traversal-Angriff. Die Methode erlaubt es den Angreifern, verschiedene Schaddateien – darunter LNK-, HTA-, VBS- und DLL-Dateien – direkt im Windows-Autostart-Ordner oder im ProgramData-Verzeichnis zu platzieren. Auffällig: Die Forscher stellten fest, dass einige LNK-Dateien denselben Builder-Maschinenbezeichner trugen und während bestimmter Wochentage in der Zeitzone UTC+3 erstellt wurden.

Spezialisierte Datendiebe im Einsatz

Die Kampagnen dienen als Vehikel für hochentwickelte Schadsoftware, die sensible Daten abgreifen soll. SHADOW-EARTH-066 setzt dabei den GIFTEDCROOK-Stealer ein – ein in C++ kompiliertes Tool, das sich von früheren Excel-Makro-basierten Methoden zu fortgeschrittenem In-Memory-DLL-Laden über Systemaufrufe weiterentwickelt hat.

GIFTEDCROOK kann Zugangsdaten aus zahlreichen Webbrowsern extrahieren, darunter Chrome, Edge, Opera und Firefox. Insgesamt zielt die Software auf mehr als 35 verschiedene Dokumenttypen ab. Besonders perfide: Sie umgeht Sicherheitsmechanismen wie Chromes Application Bound Encryption (ABE).

Anzeige: Russische APTs nutzen WinRAR-Path-Traversal, um Schadsoftware in Autostart-Ordnern zu platzieren – mit Stealern, die Zugangsdaten aus Chrome, Edge und Firefox extrahieren. Erfahren Sie, wie Sie diese Angriffe erkennen und abwehren. Sicherheits-Report mit Erkennungsindikatoren jetzt sichern

Parallel dazu nutzt Earth Dahu eine skriptbasierte Kette zur Verbreitung der GammaSteel-Malware. Dieses Werkzeug enthält Module zur Echtzeit-Überwachung von Dateien und setzt auf Cloudflare Workers für die Kommando- und Kontrollinfrastruktur (C2) – eine Abkehr von der früheren Telegram-basierten Kommunikation.

Schutzmaßnahmen und Erkennung

Sicherheitsforscher haben mehrere IP-Adressen identifiziert, die für die Datenexfiltration über HTTPS-POST-Anfragen genutzt werden. Organisationen wird dringend empfohlen, alle WinRAR-Installationen auf Version 7.13 oder höher zu aktualisieren. Typische Kompromittierungsindikatoren sind unerwartete ausführbare Dateien oder Skripte in den Ordnern %APPDATA%MicrosoftWindowsStart MenuProgramsStartup oder C:ProgramData.

de | wissenschaft | 69509148 |