Gamaredon i phishing przez archiwum WinRAR

TL;DR

Gamaredon wykorzystuje spear phishing, zaufany kontekst urzędowy i złośliwe archiwa, aby dostarczać kolejne etapy malware. HarfangLab opisał kampanie, w których wiadomości podszywały się pod korespondencję urzędową lub sądową, a załączone archiwum RAR wykorzystywało podatność CVE-2025-8088 w WinRAR. Po rozpakowaniu użytkownik widział pozorny dokument PDF, ale w tle do folderu autostartu trafiał skrypt VBScript.

Dalej pojawiały się GammaDrop i GammaLoad. GammaDrop pobierał kolejny etap, a GammaLoad utrzymywał dostęp, profilował komputer i cyklicznie komunikował się z infrastrukturą C2, czyli command and control. Część infrastruktury wykorzystywała Cloudflare Workers, dynamiczne domeny i rotację adresów.

Dla polskich firm to nie jest tylko raport o Ukrainie. Mechanizm jest uniwersalny: wiadomość od zaufanego nadawcy, archiwum z dokumentem, podatność w popularnym narzędziu i użytkownik, który traktuje pismo urzędowe jako zadanie do wykonania. Taki scenariusz warto ćwiczyć w awareness i procedurach SOC.

Dokument jako przynęta operacyjna

W kampaniach opisanych przez HarfangLab przynęta nie była przypadkowa. Wiadomość mogła wyglądać jak oficjalne pismo, wezwanie sądowe albo dokument administracyjny. Taki temat zwiększa szansę, że odbiorca potraktuje załącznik poważnie, zwłaszcza jeśli nadawca jest podszyty lub konto zostało przejęte.

To ważne, bo użytkownik nie ocenia załącznika w próżni. Jeśli wiadomość wygląda jak realna korespondencja urzędowa, decyzja o otwarciu archiwum może być postrzegana jako wykonanie obowiązku. Atakujący wykorzystuje nie tylko ciekawość, ale też presję formalną i zaufanie do procesu.

W klasycznym phishingu często mówimy o linkach. Tutaj kluczowy jest załącznik, rozpakowanie archiwum i wykorzystanie podatności w narzędziu, które wiele osób traktuje jako neutralne. To pokazuje, że awareness nie może kończyć się na sprawdzaniu adresu URL.

WinRAR i ukryty etap infekcji

HarfangLab wskazuje, że w analizowanych próbkach wykorzystywano CVE-2025-8088, podatność typu directory traversal w WinRAR. W praktyce oznaczało to możliwość zapisania złośliwego pliku poza oczekiwaną lokalizacją podczas rozpakowywania archiwum. Użytkownik mógł widzieć dokument PDF, a jednocześnie VBScript trafiał do folderu autostartu systemu Windows.

Ten element jest szczególnie groźny, bo ofiara może nie zauważyć niczego podejrzanego. Dokument może się pojawić, rozpakowanie może wyglądać normalnie, a złośliwy etap uruchomi się później. To inny model niż makro, które prosi o włączenie edycji. Tutaj decyzją użytkownika jest samo otwarcie i rozpakowanie archiwum.

Dla organizacji oznacza to potrzebę aktualizacji narzędzi do obsługi archiwów, kontroli nietypowych plików w katalogach autostartu, monitorowania uruchomień wscript, cscript, mshta i nietypowych procesów potomnych po rozpakowaniu pliku.

GammaDrop i GammaLoad jako łańcuch

GammaDrop pełni rolę pierwszego etapu. Jest obfuskowanym skryptem VBScript, który pobiera zdalny komponent i uruchamia go na komputerze ofiary. GammaLoad jest kolejnym etapem: utrzymuje się w systemie, zbiera podstawowe informacje o hoście i komunikuje się z serwerami C2.

W raporcie HarfangLab opisano cykliczne beaconowanie, identyfikatory ofiary, użycie Cloudflare Workers i mechanizmy pozwalające operatorowi rozpoznać zainfekowane systemy. To nie musi od razu oznaczać kradzieży danych w pierwszej sekundzie. Czasem pierwszy etap służy rozpoznaniu i selekcji celu.

Z punktu widzenia SOC ważna jest oś czasu: dostarczenie maila, rozpakowanie archiwum, zapis pliku w autostarcie, uruchomienie skryptu, połączenia HTTP, pobranie HTA, uruchomienie mshta i późniejsze beaconowanie. Każdy z tych elementów może być osobnym sygnałem detekcyjnym.

Polski kontekst

Polskie organizacje współpracujące z Ukrainą, administracja, uczelnie, logistyka, przemysł, zdrowie i sektor publiczny powinny traktować takie raporty jako praktyczne ostrzeżenie. Nie chodzi o to, że każdy polski podmiot jest celem Gamaredon. Chodzi o to, że scenariusz jest łatwy do przeniesienia: oficjalnie wyglądająca korespondencja, dokument, archiwum i użytkownik, który działa pod presją formalną.

W polskim wariancie przynęta mogłaby udawać pismo urzędowe, wezwanie, decyzję administracyjną, dokument przetargowy, załącznik od kontrahenta, zgłoszenie reklamacyjne, dokumentację transportową albo plik z sądu. Jeżeli organizacja przyjmuje dokumenty z zewnątrz, musi mieć jasne zasady obsługi archiwów i nietypowych załączników.

W testach phishingowych dla firm można bezpiecznie symulować scenariusz dokumentu urzędowego z archiwum, bez dostarczania złośliwego kodu. Celem jest sprawdzenie, czy pracownik zatrzyma proces, zgłosi wiadomość i nie potraktuje formalnego tematu jako automatycznego polecenia otwarcia pliku.

Co zrobić po otwarciu podejrzanego archiwum

Jeżeli użytkownik otworzył lub rozpakował podejrzane archiwum, powinien natychmiast zgłosić zdarzenie do IT lub SOC. Nie powinien ponownie uruchamiać plików, kasować archiwum ani samodzielnie czyścić systemu. Artefakty mogą być potrzebne do analizy.

Zespół techniczny powinien sprawdzić, czy system miał aktualną wersję WinRAR lub innego narzędzia do archiwów, czy w katalogach autostartu pojawiły się nowe skrypty, czy uruchamiano wscript, cscript, mshta, powershell albo procesy nietypowe dla użytkownika. Należy przeanalizować logi EDR, DNS, proxy i ruch do domen Cloudflare Workers lub innych nietypowych hostów.

Jeżeli pojawiły się oznaki wykonania malware, urządzenie powinno zostać odizolowane, a konto użytkownika sprawdzone pod kątem późniejszej aktywności. W zależności od roli użytkownika może być potrzebna analiza poczty, dostępu do plików, systemów wewnętrznych i ewentualnej eskalacji.

Jak ćwiczyć taki scenariusz

W programie security awareness scenariusz Gamaredon warto przełożyć na prosty komunikat: nie każde ryzyko jest widoczne w treści wiadomości. Czasem ryzykiem jest ciąg zdarzeń: nadawca, temat formalny, archiwum, dokument, rozpakowanie i uruchomienie skryptu w tle.

Użytkownicy powinni wiedzieć, że załączniki archiwalne od nieznanych lub nieoczekiwanych nadawców wymagają weryfikacji. Szczególnie gdy dotyczą spraw sądowych, urzędowych, przetargowych, finansowych albo pilnych. IT i SOC powinny z kolei ćwiczyć szybkie odtworzenie ścieżki po otwarciu pliku.

W raporcie z kampanii warto mierzyć nie tylko kliknięcie lub otwarcie wiadomości. Ważne są: pobranie pliku, próba rozpakowania, zgłoszenie, czas reakcji i to, czy użytkownik przekazał wiadomość dalej jako zadanie do wykonania.

Wniosek

Gamaredon pokazuje, że phishing techniczny nadal zaczyna się od decyzji człowieka. Nawet jeśli później wykorzystywana jest podatność WinRAR, Cloudflare Workers, GammaDrop i GammaLoad, pierwszy moment to wiadomość, która ma przekonać odbiorcę do otwarcia archiwum.

Dla firmy praktyczna zasada jest konkretna: dokument urzędowy, wezwanie, faktura albo pismo od kontrahenta nie zwalniają z weryfikacji, jeśli przychodzą jako nietypowe archiwum. Odporność zaczyna się od zatrzymania procesu, a kończy dopiero wtedy, gdy SOC potrafi odtworzyć, co wydarzyło się po rozpakowaniu pliku.