(in)sicurezza digitale

2026-06-03 12:47:05

Gamaredon sfrutta CVE-2025-8088 in WinRAR per distribuire GammaWorm e GammaSteel contro l’Ucraina

Si parla di:
Toggle

Il gruppo russo Gamaredon, legato all’FSB (Federalnaya Sluzhba Bezopasnosti), ha intensificato le sue operazioni contro l’Ucraina sfruttando una vulnerabilità recentemente scoperta in WinRAR per distribuire una sofisticata catena di malware multi-stadio. La campagna, osservata dai ricercatori di Sekoia nel gennaio 2026, utilizza una sequenza di payload denominati GammaPhish, GammaLoad, GammaWorm e GammaSteel — strumenti progettati per persistenza a lungo termine, propagazione laterale e esfiltrazione massiva di dati sensibili.

La vulnerabilità sfruttata: CVE-2025-8088

Il vettore iniziale di compromissione è la CVE-2025-8088, un path traversal flaw in WinRAR che consente l’estrazione di file in percorsi arbitrari del filesystem, incluse directory di avvio e cartelle di sistema. L’exploit si concretizza attraverso archivi RAR appositamente costruiti che, all’apertura, rilasciano silenziosamente un file HTA (HTML Application) denominato GammaPhish. La scelta di WinRAR come vettore non è casuale: il software è praticamente onnipresente negli ambienti governativi e militari ucraini, e Gamaredon ha già in passato sfruttato archivi RAR malevoli come vettore principale delle proprie campagne di spear-phishing.

La catena d’infezione: da GammaPhish a GammaSteel

Una volta eseguito, GammaPhish lancia GammaLoad, un downloader scritto in VBScript con tre funzioni primarie: fingerprinting del sistema host, aggiornamento della configurazione di rete nel registro di Windows tramite dead drop resolver (DDR), e recupero ed esecuzione di payload VBScript aggiuntivi dai server C2 dell’attaccante.

Da GammaLoad si biforcano i principali payload operativi. Il primo è GammaWorm, un worm VBScript progettato per garantire persistenza e propagazione laterale: stabilisce scheduled task come meccanismo di persistenza, poi individua le condivisioni di rete e i drive USB connessi al sistema infetto, ne nasconde le directory legittime e le sostituisce con file LNK (Windows Shortcut) malevoli. Quando una vittima nella rete clicca su uno di questi shortcut, viene scaricato ed eseguito codice arbitrario dal C2. Per risolvere l’indirizzo del server di comando, GammaWorm effettua una GET request tramite curl verso un canale Telegram pubblico hard-coded, sfruttando la legittimità della piattaforma per evadere i controlli di rete. I moduli core del worm vengono nascosti tramite NTFS Alternate Data Streams (ADS), rendendoli invisibili ai tool standard di ispezione del filesystem.

Il secondo payload principale è GammaSteel, un infostealer modulare che cattura file corrispondenti a specifiche estensioni (documenti Office, PDF, archivi, configurazioni) ed esfiltrate verso un bucket Amazon Web Services S3 controllato dagli attaccanti, con un server di fallback alternativo. La flessibilità dell’architettura permette anche la distribuzione di GammaWipe (GamaWiper), un componente distruttivo attivabile selettivamente a seconda degli obiettivi operativi.

Chi è Gamaredon e perché rappresenta una minaccia persistente

Gamaredon (noto anche come Primitive Bear, ACTINIUM, Armageddon, UAC-0010) è un APT attribuito ufficialmente all’FSB russo, specificamente al suo Centro 18 operante dalla Crimea. Attivo dal 2013, il gruppo si concentra quasi esclusivamente su target ucraini — enti governativi, militari, forze dell’ordine, organizzazioni del settore energetico — con campagne quasi ininterrotte che combinano spear-phishing tramite allegati RAR malevoli, malware custom VBScript e PowerShell, e tecniche di living-off-the-land. A differenza di gruppi più furtivi come APT29 o Turla, Gamaredon privilegia volume e persistenza, aggiornando costantemente i propri tool per sfuggire al rilevamento. L’analisi di Sekoia descrive questa architettura come “resiliente, massiva e altamente offuscata”: la capacità di aggiornare le configurazioni on the fly tramite Telegram DDR rende estremamente difficile bloccare le comunicazioni C2.

Campagne parallele: il fronte ucraino sotto attacco multiplo

La campagna Gamaredon si inserisce in un panorama di minacce concorrenti. UAC-0184 continua a colpire obiettivi militari ucraini con lure LNK che distribuiscono PassMark BurnInTest come carrier per payload malevoli. UAC-0247 (ex UAC-0244) ha preso di mira gli operatori di droni FPV, distribuendo dropper HTA via archivi ZIP con backdoor a reverse shell. Separatamente, ricercatori di ExaTrack hanno documentato l’evoluzione di PixyNetLoader, attribuito ad APT28, che sfrutta CVE-2026-21509 su Microsoft Office per rilasciare un implant COVENANT Grunt — varianti rilevate fino al 15 aprile 2026.

Due righe per i difensori

• Patching immediato di WinRAR all’ultima versione disponibile (CVE-2025-8088 è patchata)
• Blocco esecuzione HTA tramite Group Policy Object (GPO) e regole AppLocker
• Restrizione VBScript: disabilitare wscript.exe e cscript.exe dove non necessario
• Monitoraggio NTFS ADS su endpoint critici con Sysmon EventID 15
• Regole SIEM/YARA per curl verso endpoint Telegram in contesti non aziendali
• Blocco in uscita verso bucket AWS S3 sconosciuti e monitoraggio DNS per endpoint Telegram anomali
• Segmentazione USB: policy di blocco o controllo accessi ai supporti rimovibili

Indicatori di compromissione (IoC)

## Tecniche MITRE ATT&CK
T1566.001 – Spearphishing Attachment (archivi RAR malevoli)
T1204.002 – User Execution: Malicious File (GammaPhish HTA)
T1059.005 – Command and Scripting Interpreter: VBScript (GammaLoad/GammaWorm)
T1053.005 – Scheduled Task/Job (GammaWorm persistence)
T1091    – Replication Through Removable Media (GammaWorm USB spread)
T1027    – Obfuscated Files/Information: NTFS Alternate Data Streams
T1102.001 – Web Service: Dead Drop Resolver (Telegram per risoluzione C2)
T1041    – Exfiltration Over C2 Channel (GammaSteel → AWS S3)
T1485    – Data Destruction (GammaWipe, attivato selettivamente)

## Vulnerabilità sfruttata
CVE-2025-8088 – WinRAR path traversal
Soluzione: aggiornare WinRAR all'ultima versione

## Infrastruttura C2
- Canali Telegram pubblici (hard-coded nei sample GammaWorm per DDR)
- Bucket AWS S3 attaccante-controllati (esfiltrazione GammaSteel)
- Server fallback attaccante-controllati

## Fonte primaria della ricerca
Sekoia – FSBS Matryoshka 1.3:
https://blog.sekoia.io/fsbs-matryoshka-1-3-gamaredons-gifts-that-keeps-unpacking-gammaphish-and-gammaworm/