Cloud
Alte WinRAR-Sicherheitslücke immer noch aktiv
Russlandnahe Kampagnen nutzen die WinRAR-Sicherheitslücke auch ein Jahr nach der Veröffentlichung des Patches für Angriffe gegen ukrainische Organisationen aus. Nicht gemanagte Software bleibt ein Eintrittspunkt auch nach Veröffentlichung des Patches.
Save to Folio
Wichtige Erkenntnisse
- CVE-2025-8088, eine im Juli 2025 behobene Path-Traversal-Sicherheitslücke in WinRAR, wird nach wie vor von mehreren Angriffsgruppen ausgenutzt, die es auf die Ukraine abgesehen haben, darunter eine Gruppe, die wir als SHADOW-EARTH-066 bezeichnen, sowie russlandnahe Gruppen wie Earth Dahu (Gamaredon).
- SHADOW-EARTH-066 hat eine aktualisierte Version seines Informationsdiebstahl-Tools eingesetzt. Das Tool sammelt Browser-Passwörter, Sitzungs-Cookies und Dateien mit 35 verschiedenen Dateiendungen.
- WinRAR wird weder von Gruppenrichtlinien noch von zentralisierten Update-Mechanismen abgedeckt. Software mit diesen Eigenschaften bleibt in der Regel noch lange nach der Veröffentlichung von Patches angreifbar, was einen anhaltenden blinden Fleck im Schwachstellenmanagement von Organisationen schafft.
Als Russland 2014 die Krim annektierte, prägte eine Handvoll bekannter Akteure die russlandnahe Cyberbedrohungslandschaft: Pawn Storm (auch APT28), Sandworm, Earth Koshchei (auch bekannt als APT29), Turla und Earth Dahu (auch bekannt als Gamaredon). Ein Jahrzehnt später sind diese Gruppen nach wie vor aktiv, doch zu ihnen gesellt sich mittlerweile eine weitaus größere Anzahl unterschiedlicher Gruppen, die auf die Ukraine abzielen. Ein Muster zieht sich durch all deren Aktivitäten: die rasche Ausnutzung von Schwachstellen in weit verbreiteter Software.
Etwa CVE-2025-8088, die WinRAR-Sicherheitslücke, die im Mittelpunkt dieses Berichts steht, wurde erstmals im Juli 2025 als Zero Day-Exploit gemeldet, der von Void Rabisu (ROMCOM) genutzt wurde, und den seitdem auch andere Gruppen nutzten, darunter Sandworm und Turla. Auch SHADOW-EARTH-066 (bekannt als UAC-0226) und Earth Dahu missbrauchen diese Sicherheitslücke.
WinRAR, ein Archivierungs- und Extraktionswerkzeug, ist tief in den täglichen Arbeitsabläufen ukrainischer Organisationen verankert und stellt daher ein attraktives Ziel für Angriffe dar. Es handelt sich um eine Path Traversal-Schwachstelle (CVSS 8,4), die im Juli 2025 in WinRAR 7.13 behoben wurde. Sie ermöglicht es einem Angreifer, über NTFS Alternate Data Streams unbemerkt Dateien außerhalb des Extraktionsverzeichnisses zu schreiben. Sobald das Opfer das Archiv öffnet, ist keine weitere Interaktion erforderlich; es sieht lediglich ein Scheindokument. Alle von uns analysierten Samples nutzen diese Schwachstelle aus.
Wir haben zwei separate Kampagnen analysiert, die CVE-2025-8088 gegen ukrainische Ziele ausnutzen. Die erste wird der Gruppe SHADOW-EARTH-066 zugeschrieben und verbreitet eine aktualisierte Version des Information Stealers „GIFTEDCROOK“, der schnell Anmeldedaten und Dokumente sammelt, bevor er sich selbst löscht. Für die zweite ist Earth Dahu (Gamaredon) verantwortlich, und sie verbreitet Spionagetools über eine HTA-basierte Kette. Die beiden Gruppen nutzen unterschiedliche Tools und Infrastrukturen, haben jedoch denselben Einstiegspunkt.
Die Sicherheitslücke: CVE-2025-8088
Die Opfer erhalten ein RAR-Archiv, in der Regel per Mail. Wenn sie das Archiv mit einer älteren Version von WinRAR öffnen, erscheint eine PDF-Datei. Sie kann wie eine gerichtliche Vorladung, ein behördlicher Bescheid oder ein Dokument des Verteidigungsministeriums aussehen. Für das Opfer ist nichts weiter sichtbar, doch im Hintergrund hat WinRAR unbemerkt zusätzliche Dateien an Speicherorten außerhalb des Extraktionsverzeichnisses abgelegt, beispielsweise im Windows Autostart-Ordner. Es erscheint kein Dialogfeld und keine Warnung. Bei der nächsten Anmeldung des Benutzers werden die Dateien ausgeführt. Beide Kampagnen nutzten diese Lücke, die in Bezug zu einer früheren Directory Traversal-Lücke (CVE-2025-6218, gepatcht in WinRAR 7.12) steht. Sie missbrauchen aber einen anderen Codepfad über die Alternate Data Streams (ADS) von NTFS.
ADS ist eine Funktion des NTFS-Dateisystems, mit der einer Datei zusätzliche benannte Datenströme hinzugefügt werden können. Zu den legitimen Verwendungszwecken gehört die Speicherung von Metadaten, wie beispielsweise von Browsern hinzugefügte Zonenkennungen. ADS kann jedoch auch beliebige Daten enthalten.
Von einer GIFTEDCROOK-Kampagne zu einer WinRAR Exploit-Kette
SHADOW-EARTH-066 ist unsere vorläufige Bezeichnung für die Gruppe von Angreifern, die von CERT-UA als UAC-0226 verfolgt wird und deren Aktivitäten erstmals im April 2025 dokumentiert wurden. Die Kampagne richtet sich seit mindestens Februar 2025 gegen ukrainische militärische Innovationszentren, militärische Verbände, Strafverfolgungsbehörden und lokale Selbstverwaltungsorgane in der Nähe der östlichen Grenze der Ukraine.
Die ursprüngliche Kampagne nutzte SpearPhishing-Mails mit makroaktivierten Excel-Dateien, die sich auf Minenräumung, Verwaltungsstrafen, die Produktion von Drohnen (UAV) und Entschädigungen für zerstörtes Eigentum bezogen. Die Payloads umfassten eine .NET-Reverse-Shell und einen C/C++-Anmeldedaten-Stealer (den CERT-UA als GIFTEDCROOK bezeichnete). Bis Februar 2026 hatte SHADOW-EARTH-066 seinen Erstzugriffsvektor von Excel-Makro-Droppern auf CVE-2025-8088 verlagert und war von eingebetteten .NET-Payloads mit Telegram-Exfiltration zu einer DLL-Ladekette im Arbeitsspeicher mit dedizierten C&C-Servern übergegangen.
Einzelheiten zum Angriffsablauf, Payload und Techniken gegen Sandbox-Analysen enthält der Originalbeitrag.
Earth Dahu: Spionageangriffe über HTA-Kette
„Earth Dahu“ nennen wir den Angreifer, allgemein als Gamaredon bekannt (auch Primitive Bear, Shuckworm, Aqua Blizzard, UAC-0010, BlueAlpha und ACTINIUM), der zu den aktivsten russlandnahen Gruppen gehört, die die Ukraine ins Visier nehmen, und ihre Aktivitäten sind seit mindestens 2013 dokumentiert. Earth Dahu, bevorzugte in der Vergangenheit vor allem skriptbasierte Tools, greift nun aber auf neue Verbreitungstechniken zurück, sobald ältere erkannt und blockiert werden. Dazu gehören Office-Makros, selbstextrahierende Archive (SFX), BAT-Skripte und die Ausnutzung von Sicherheitslücken wie CVE-2025-8088.
Seit mindestens September 2025 nutzt die Gruppe auch CVE-2025-8088 für ihre Operationen. Damals missbrauchte Earth Dahu die Sicherheitslücke in einer HTA-zu-VBScript-Infektionskette, über die Spionagemodule eingeschleust wurden. Basierend auf den internen Zeitstempeln der RAR-Dateien und den Namenskonventionen der Dateien blieb die Kette mindestens bis zum 10. April 2026 aktiv.
Wir stellten mehrere Spear-Phishing-E-Mails im Zusammenhang mit der HTA-Kampagne von Earth Dahu sicher, die im Zeitraum von Dezember 2025 bis April 2026 versendet wurden. Die meisten davon wurden von kompromittierten Konten innerhalb ukrainischer Regierungsorganisationen und über kostenlose E-Mail-Dienste versendet. In einem Cluster wiesen vier separate Konten auf einem einzigen Exchange-Server einer regionalen Behörde dieselbe interne Absender-IP-Adresse auf, was darauf hindeutet, dass eine kompromittierte Workstation die E-Mails über mehrere Postfächer versendet hat. Weitere kompromittierte Konten wurden in Systemen der Justiz und der Strafvollzugsbehörden identifiziert.
Der Originalbeitrag befasst sich mit der Ausnutzung der Sicherheitslücke CVE-2025-8088 durch Earth Dahu als Vektor für den Erstzugang. Die TTPs nach der Ausnutzung, einschließlich der Einschleusung von GammaSteel und anderen Spionagemodulen, wurden von ClearSky und HarfangLab dokumentiert.
Fazit
Die Tatsache, dass sowohl etablierte, staatlich unterstützte Gruppen als auch unabhängig voneinander beobachtete Akteure auf eine einzige Sicherheitslücke abzielen, verdeutlicht das Ausmaß der Cyberbedrohungen, denen die Ukraine ausgesetzt ist. Seit der groß angelegten Invasion im Jahr 2022 ist die Zahl der Angriffsserien, die Operationen gegen ukrainische Regierungs- und Militärnetzwerke durchführen, stetig gestiegen, und die bei diesen Kampagnen gestohlenen Zugangsdaten und Dokumente werden nicht auf diese Netzwerke beschränkt bleiben. Kompromittierte Konten in Militär- und Regierungsorganisationen können Folgegefahren für verbündete Nationen und Partner in deren Kontaktnetzwerken mit sich bringen.
Die Sicherheitslücke kann ausgenutzt werden, da WinRAR auf vielen Endgeräten noch nicht gepatcht ist, sodass sich der Aufwand lohnt. WinRAR aktualisiert sich nicht automatisch, unterstützt keine Gruppenrichtlinien und fällt nicht unter Unternehmens-Patch-Kanäle. Die Überprüfung des Patch-Status auf Hunderten von Endgeräten erfordert Tools von Drittanbietern oder manuelle Überprüfungen.
SHADOW-EARTH-066 und Earth Dahu nutzen unterschiedliche Werkzeuge und Infrastrukturen – einerseits eine kompilierte C++-Stealer-Kette, andererseits ein skriptbasiertes Spionage-Framework –, doch beide stützten sich auf denselben ungepatchten Einstiegspunkt.
Dieses Problem betrifft nicht nur WinRAR, die Ukraine oder diese Angreifer. Viele Dienstprogramme, Archivierungstools und Datei-Viewer weisen dieselben Merkmale auf: Sie sind weit verbreitet, werden selten aktualisiert und lassen sich auf Unternehmensebene nur schwer verwalten. Im Laufe der Zeit sammeln sich bekannte Schwachstellen an, nach denen Angreifer gezielt suchen. CVE-2025-8088 scheint demselben Muster zu folgen – und wenn Angreifer eine Schwachstelle finden, die funktioniert, werden sie sie so lange nutzen, bis sie nicht mehr funktioniert.
Die Überwachung und das Patchen dieser Anwendungen ist eine Grundvoraussetzung für die Verringerung der Angriffsfläche, auf die sich Angreifer stützen.
Leitfaden zum Risikomanagement
Priorisierung sofortiger Maßnahmen
- WinRAR aktualisieren. IT-Teams sollten die installierten Versionen auf allen Endgeräten überprüfen und die neueste Version von WinRAR bereitstellen. Endgeräte in Behörden, beim Militär und in verteidigungsnahen Organisationen sollten dabei Vorrang haben.
- Nach Indikatoren suchen. Sicherheitsteams sollten Endgeräte überprüfen. Hinweis: Der Selbstlöschmechanismus von GIFTEDCROOK entfernt nach der Datenexfiltration die Start-LNK-Datei sowie beide Staging-Dateien unter C:\ProgramData\. Diese dateibasierten Indikatoren sind nur zwischen der Erstinfektion und der nächsten Benutzeranmeldung vorhanden.
- Wechseln Sie Anmeldedaten regelmäßig. Bei bestätigten oder vermuteten Kompromittierungen sollten betroffene Unternehmen für alle Konten mit gespeicherten Browser-Anmeldedaten eine Passwortzurücksetzung erzwingen, aktive Websitzungen ungültig machen, gespeicherte Tokens und API-Schlüssel regelmäßig austauschen sowie MFA für alle kritischen Konten aktivieren, sofern dies nicht bereits geschehen ist.
- C&C-Infrastruktur blockieren: alle SHADOW-EARTH-066 C&C-Adressen am Perimeter (Ports)
Umsetzung laufender Maßnahmen
- Mail-Gateway-Kontrollen: RAR-Archive am E-Mail-Gateway nach Möglichkeit blockieren oder unter Quarantäne stellen. Unternehmen, die den Versand von RAR-Dateien benötigen, sollten die Überprüfung von ADS-Einträgen erwägen.
- Sicherheitsteams sollten die Endpunktüberwachung und Netzwerküberwachung konfigurieren
- Verwaltung von Anwendungen von Drittanbietern: Anwendungen inventarisieren, die keine Patches über Standard-Update-Kanäle erhalten, diese in den Patch-Management-Workflow integrieren und ihren Versionsstatus im gesamten Bestand verfolgen.
TrendAI Vision One™ Threat Intelligence Hub bietet Einsichten in aufkommende Bedrohungen und zu Akteuren, exklusive strategische Reports from TrendAI™ Research. Die Indicators of Compromise finden Sie im Originalbeitrag.