Beobachtungen
Der Sicherheitsdienstleister Check Point Research analysierte eine laufende Spionagekampagne des Akteurs „Amaranth Dragon“, in deren Zentrum die Instrumentalisierung der kritischen Sicherheitslücke CVE-2025-8088 in der Archivierungssoftware WinRAR steht. Wenngleich die primären Ziele der aktuell beobachteten Angriffswelle im außereuropäischen Raum liegen, ergibt sich aus der hohen Verbreitung der betroffenen Software in Deutschland eine unmittelbare und hohe Gefährdungslage. Die Angriffsmethodik kann aufgrund ihrer Effizienz jederzeit gegen Ziele in der Bundesrepublik adaptiert werden, um unbefugten Zugang zu sensiblen Informationen und geistigem Eigentum zu erlangen.
Methoden
Die operative Durchführung der Angriffe erfolgt mittels Spear-Phishing-E-Mails, welchen präparierte Archivdateien als vermeintlich legitime Dokumente beigefügt sind. Technisch basiert der Angriffsvektor auf einem Heap Overflow innerhalb der Parsing-Routine von WinRAR für manipulierte Header-Strukturen. Diese Speicherkompromittierung wird bereits durch das bloße Öffnen des Archivs oder die Nutzung der Vorschaufunktion des Betriebssystems ausgelöst. Durch die erfolgreiche Ausnutzung der Schwachstelle erlangt der Angreifer die Möglichkeit zur Ausführung von beliebigem Schadcode im Kontext des angemeldeten Benutzers. In der Folge wird eine Backdoor installiert, wodurch eine dauerhafte Verbindung zur Command-and-Control-Infrastruktur etabliert wird, ohne dass dabei zwingend Dateien auf den Datenträger geschrieben werden müssen, was die signaturbasierte Detektion erschwert.
Attribution
Basierend auf den technischen Indikatoren, den verwendeten Malware-Familien und der strategischen Zielauswahl wird die Kampagne dem Akteur „Amaranth Dragon“ zugerechnet. Dieser Akteur agiert gemäß der vorliegenden Erkenntnisse im Interesse der Volksrepublik China. Die verwendeten Werkzeuge und die Vorgehensweise weisen signifikante Überschneidungen mit bekannten chinesischen Angriffsclustern auf, wie sie in der Vergangenheit unter den Bezeichnungen Mustang Panda oder APT41 geführt wurden. Die Ausrichtung der Operation dient primär der gezielten staatlichen Informationsgewinnung sowie der Wirtschaftsspionage.
Empfehlungen
Zur effektiven Abwehr dieser Bedrohung ist die unverzügliche Aktualisierung aller im Netzwerk befindlichen WinRAR-Installationen auf eine nicht verwundbare Version erforderlich. Darüber hinaus sollte die betriebliche Notwendigkeit des Einsatzes dieser Software kritisch geprüft und gegebenenfalls durch native Betriebssystemfunktionen oder gehärtete Alternativen substituiert werden, um die Angriffsfläche zu minimieren. Auf Netzwerkebene sind E-Mail-Gateways restriktiv zu konfigurieren, sodass der Empfang von Archiven mit verschlüsselten Inhalten oder inkludierten ausführbaren Komponenten unterbunden wird. Ergänzend sind Endpoint-Detection-and-Response-Systeme derart zu justieren, dass sie das Starten von verdächtigen Prozessen oder Netzwerkverbindungen durch die WinRAR-Anwendung in Echtzeit detektieren und blockieren. Check Point Research stellt einen ausführlichen Bericht sowie Indicators of Compromise (IOCs) zur Verfügung. Wir raten daher allen Stellen, die WinRAR im Einsatz haben, zur Prüfung der eigenen Systeme auf Betroffenheit anhand der IOCs.