An ninh mạng

Lỗ hổng WinRAR cũ vẫn bị các nhóm hacker Nga khai thác để tấn công Ukraine

Dù đã có bản vá từ năm 2025, lỗ hổng nghiêm trọng trên WinRAR vẫn đang bị các nhóm tin tặc liên kết với Nga tận dụng để phát tán mã độc đánh cắp dữ liệu tại...

Nguyen Hung
9 Tháng 6, 2026 2 Min Read
2 0

Các chuyên gia từ Trend Micro vừa đưa ra cảnh báo về việc hai nhóm tin tặc có liên kết với Nga là Earth Dahu (còn gọi là Gamaredon) và SHADOW-EARTH-066 (UAC-0226) vẫn đang tích cực khai thác một lỗ hổng bảo mật cũ trên phần mềm WinRAR để nhắm vào các tổ chức tại Ukraine.

Lỗ hổng được nhắc đến là CVE-2025-8088, một lỗi path traversal cho phép kẻ tấn công ghi đè tệp tin ra ngoài thư mục giải nén thông qua NTFS Alternate Data Streams (ADS). Mặc dù WinRAR đã phát hành bản vá cho lỗ hổng này từ tháng 7/2025, nhưng thực tế cho thấy nhiều hệ thống vẫn chưa được cập nhật, tạo điều kiện cho các chiến dịch tấn công kéo dài.

Phương thức tấn công tinh vi

Nhóm SHADOW-EARTH-066 đã thay đổi chiến thuật, từ bỏ việc sử dụng macro trong Excel để chuyển sang các tệp RAR được chế tạo đặc biệt. Các tệp này chứa một tài liệu PDF giả mạo và ba payload ADS ẩn. Khi người dùng giải nén, một tệp Windows Shortcut (LNK) sẽ tự động được đặt vào thư mục Startup, kích hoạt PowerShell loader mỗi khi máy tính khởi động. Cuối cùng, mã độc GIFTEDCROOK (dưới dạng DLL) sẽ được nạp vào bộ nhớ để thực thi hành vi đánh cắp mật khẩu và cookie từ các trình duyệt như Chrome, Edge, Opera và Firefox.

Một điểm đáng chú ý là kẻ tấn công đã chuyển hướng từ việc sử dụng Telegram sang các máy chủ C2 (Command-and-Control) riêng biệt để exfiltrate dữ liệu, có khả năng nhằm thích nghi với các thay đổi về chính sách chặn nền tảng nhắn tin này tại Nga.

Chiến dịch gián điệp của Earth Dahu

Trong khi đó, nhóm Earth Dahu đã sử dụng lỗ hổng này từ ít nhất tháng 9/2025. Theo các báo cáo, nhóm này triển khai chuỗi lây nhiễm HTA-to-VBScript để phát tán các module gián điệp. Các công cụ như GammaLoadGammaSteel được sử dụng để duy trì quyền truy cập lâu dài và giám sát tệp tin trên máy nạn nhân theo thời gian thực.

Các nhà nghiên cứu nhấn mạnh rằng việc WinRAR được sử dụng phổ biến trong các hoạt động vận hành hàng ngày tại Ukraine đã biến nó thành mục tiêu hấp dẫn. Sự hội tụ của nhiều nhóm tấn công khác nhau trên cùng một lỗ hổng cho thấy quy mô và tính chất phức tạp của các mối đe dọa an ninh mạng mà quốc gia này đang phải đối mặt.

Đây là lời nhắc nhở quan trọng cho các quản trị viên hệ thống về tầm quan trọng của việc quản lý phần mềm và cập nhật các bản vá bảo mật kịp thời, ngay cả đối với các ứng dụng phổ biến.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept