Новая группа кибершпионажа Amaranth Dragon эксплуатирует уязвимость WinRAR

Amaranth Dragon Apt41 Cve-2025-8088 Winrar кибератаки шпионаж

Новый киберзлоумышленник Amaranth Dragon, связанный с китайской группой APT41, использовал уязвимость CVE-2025-8088 в WinRAR для шпионских атак на госорганы в Юго-Восточной Азии. Атаки отличались скрытностью и точным нацеливанием.

Новый злоумышленник под названием Amaranth Dragon, связанный с китайскими государственными операциями APT41, использовал уязвимость CVE-2025-8088 в WinRAR для шпионских атак на правительственные и правоохранительные органы.

Хакеры сочетали легитимные инструменты с пользовательским Amaranth Loader для доставки зашифрованных полезных нагрузок с серверов командно-контрольной инфраструктуры (C2) за Cloudflare, что обеспечивало более точное нацеливание и повышенную скрытность.

По данным исследователей из компании Check Point, Amaranth Dragon нацеливался на организации в Сингапуре, Таиланде, Индонезии, Камбодже, Лаосе и на Филиппинах.

Уязвимость CVE-2025-8088 может быть использована для записи вредоносных файлов в произвольные расположения путем использования функции Alternate Data Streams (ADS) в Windows. Множество злоумышленников эксплуатировали ее в атаках нулевого дня с середины 2025 года для обеспечения персистентности путем размещения вредоносного ПО в папке автозагрузки Windows.

На прошлой неделе в отчете Google Threat Intelligence Group (GTIG) сообщалось, что CVE-2025-8088 по-прежнему активно эксплуатируется несколькими группами злоумышленников, включая RomCom, APT44, Turla и различных китайских киберпреступников.

Check Point сообщает, что Amaranth Dragon начал использовать уязвимость WinRAR 18 августа 2025 года, через четыре дня после того, как первый рабочий эксплойт стал общедоступным.

Однако исследователи отслеживают активность злоумышленника с марта 2025 года и выявили несколько кампаний, каждая из которых была ограничена одной или двумя странами посредством строгого геофенсинга.

Кроме того, приманки, использованные в атаках, были связаны с геополитическими или местными событиями.

Новая группа кибершпионажа Amaranth Dragon эксплуатирует уязвимость WinRAR

В атаках до августа 2025 года Amaranth Dragon использовал ZIP-архивы с файлами .LNK и .BAT, содержащими скрипты для дешифровки и запуска загрузчика группы.

Когда стали доступны эксплойты для CVE-2025-8088, злоумышленник использовал уязвимость для размещения вредоносного скрипта в папке автозагрузки. В некоторых случаях для резервирования также создавался ключ реестра Run.

Эти механизмы запускают подписанный цифровой исполняемый файл, который запускает полезную нагрузку Amaranth Loader с использованием техники DLL-sideloading.

Новая группа кибершпионажа Amaranth Dragon эксплуатирует уязвимость WinRAR

Загрузчик извлекает AES-зашифрованную полезную нагрузку по внешнему URL и расшифровывает ее в памяти. Во многих случаях эта полезная нагрузка представляла собой фреймворк постэксплуатации Havoc C2, который злоумышленники использовали в кибератаках по крайней мере с 2023 года, а также применялся в атаках на основе ClickFix.

Для фильтрации трафика из стран, не входящих в зону атаки, злоумышленник использовал C2-серверы за инфраструктурой Cloudflare, настроенные на прием трафика только из целевых регионов.

Check Point отметил, что в более поздних атаках Amaranth Dragon был развернут новый инструмент удаленного доступа, отслеживаемый как TGAmaranth RAT. RAT использует бот Telegram для C2-активности.

Новая группа кибершпионажа Amaranth Dragon эксплуатирует уязвимость WinRAR

TGAmaranth также поддерживает загрузку/выгрузку файлов, создание снимков экрана и перечисление запущенных процессов на хосте.

Он может обходить обнаружение, реализуя различные защиты от отладки, антивирусных решений и систем обнаружения и реагирования на конечных точках (EDR), которые включают замену перехваченной копии ntdll.dll, системной библиотеки Windows, используемой для низкоуровневых взаимодействий, на неперехваченную копию.

Учитывая широкое распространение эксплуатации CVE-2025-8088 множеством злоумышленников, организациям рекомендуется обновить WinRAR до версии 7.13 или новее (последняя версия — 7.20), которая устраняет эту уязвимость.

Check Point заявляет, что атаки Amaranth Dragon демонстрируют, что злоумышленник обладает «технической компетентностью и операционной дисциплиной» и способен адаптировать свою тактику и инфраструктуру для максимального воздействия на цели.

Отчет исследователей содержит индикаторы компрометации для архивов, URL-адресов, вспомогательных файлов и вредоносного ПО, использованного в атаках. Также доступны правила YARA, которые помогут защитникам обнаруживать вторжения Amaranth Dragon.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:


Похожие новости: