Уязвимост CVE-2025-8088 в WinRAR
Изследователи по сигурността разкриха широко разпространена експлоатация на вече поправена критична уязвимост в RARLAB WinRAR от множество злонамерени лица. Както национални противници, така и финансово мотивирани групи са се възползвали от недостатъка, за да получат първоначален достъп до целевите среди и да внедрят широк спектър от злонамерени полезни товари. Въпреки че е поправена през юли 2025 г., уязвимостта продължава да бъде злоупотребявана в различни операции, което подчертава постоянните рискове, свързани с неподправен софтуер.
Съдържание
CVE-2025-8088: Технически преглед и въздействие
Уязвимостта, проследена като CVE-2025-8088 с CVSS оценка 8.8, беше отстранена във версия 7.13 на WinRAR, издадена на 30 юли 2025 г. Експлоатацията позволява изпълнение на произволен код чрез специално създадени архивни файлове, отворени в уязвими версии на софтуера. Основната причина е недостатък в преминаването на пътя, който позволява на атакуващите да пускат файлове в чувствителни места, най-вече в папката „Стартиране“ на Windows, което позволява скрито запазване и автоматично изпълнение при рестартиране на системата и влизане на потребителя.
Тази техника на експлоатация отразява по-широка защитна празнина в основната хигиена на сигурността на приложенията и осведомеността на крайните потребители.
От нулев ден до N-ден: Еволюцията на атаките
Уязвимостта е била използвана като zero-day още на 18 юли 2025 г., по-специално от групата за заплахи с двойна мотивация RomCom (известна също като CIGAR или UNC4895). Тези операции са доставили вариант на зловредния софтуер SnipBot (NESTPACKER). Изследователите също така свързват свързана активност с клъстера, проследен като UNC2596, който е свързан с внедряване на Cuba Ransomware.
След публичното разкриване и поставянето на корекции, уязвимостта бързо се превърна в широко използвана, като атакуващите вграждаха злонамерени файлове, често полезни товари на Windows shortcuts (LNK), скрити в алтернативни потоци от данни (ADS), в примамливо съдържание. След извличане, тези файлове се поставят в предварително определени системни пътища и се задействат автоматично след рестартиране.
Национално-държавните операции разширяват експлоатацията
Множество свързани с правителството групи за заплахи са включили CVE-2025-8088 в активни кампании. По-специално свързани с Русия участници са използвали специално примамки и вторични полезни товари, за да постигнат както шпионски, така и разрушителни цели:
- Sandworm (известен също като APT44 или FROZENBARENTS) е разположил архиви, съдържащи примамливи файлове с украинска тематика, заедно със злонамерени LNK полезни товари, предназначени за извличане на допълнителни компоненти.
- Гамаредон (известен също като CARPATHIAN) е атакувал украински правителствени организации, използвайки RAR архиви, които са предоставяли програми за изтегляне на HTML приложения (HTA) като първи етап.
- Turla (известна също като SUMMIT) злоупотреби с недостатъка, за да разпространи зловредния софтуер STOCKSTAY, използвайки теми за социално инженерство, свързани с украинските военни и дейности, свързани с дронове.
Успоредно с това, базиран в Китай хакер е използвал същата уязвимост като оръжие, за да инсталира Poison Ivy, доставяна чрез пакетен скрипт, пуснат в папката „Стартиране“ на Windows и конфигуриран да извлича вторичен дропър.
Финансово мотивирани кампании и търговско таргетиране
Киберпрестъпни групи бързо възприеха уязвимостта, за да внедрят троянски коне за отдалечен достъп (RAT) и крадци на информация срещу търговски жертви. Наблюдаваните полезни товари включват контролирани от ботове задни врати на Telegram, както и семейства злонамерен софтуер като AsyncRAT и XWorm.
В една забележителна кампания, киберпрестъпна група, известна с насочването си към бразилски потребители, разпространи злонамерено разширение за Chrome. Това разширение инжектира JavaScript в страниците на два бразилски банкови уебсайта, за да представя фишинг съдържание и да събира потребителски идентификационни данни, демонстрирайки гъвкавостта на първоначалния достъп, получен чрез експлойта на WinRAR.
Подземните пазари и комерсиализацията на експлойтите
Смята се, че бързото и широко приемане на CVE-2025-8088 произтича от процъфтяваща подземна икономика на експлойтите. Съобщава се, че експлойтите на WinRAR са били рекламирани за хиляди долари, което е намалило бариерата за навлизане на широк кръг от участници. Доставчик, работещ под псевдонима „zeroplayer“, е пуснал на пазара експлойт на WinRAR в седмиците преди публичното разкриване на CVE-2025-8088.
Продължаващата роля на Zeroplayer като доставчик на услуги нагоре по веригата илюстрира превръщането на жизнения цикъл на атаката в стока, където възможностите за експлойт „до ключ“ намаляват разходите за разработка и позволяват на групи с различни мотивации да извършват сложни операции.
По-широк модел: Допълнителни недостатъци на WinRAR под атака
Тази активност съвпада с опити за експлоатация на друга уязвимост на WinRAR, CVE-2025-6218 (CVSS оценка: 7.8). Наблюдавани са множество злонамерени лица, включително GOFFEE, Bitter и Gamaredon, които използват тази отделна уязвимост, засилвайки продължаващата заплаха, породена от n-дневните уязвимости, и скоростта, с която нападателите операционализират новоразкрити слабости.
Стратегически последици за защитниците
Продължителната злоупотреба с уязвимости на WinRAR, актуализирани с корекции, подчертава важността на навременното управление на корекциите, обучението на потребителите за повишаване на осведомеността и наблюдението на механизми за устойчивост, като например неоторизирани файлове в директории за стартиране. Сливането на държавно спонсорираната и престъпната експлоатация допълнително показва колко бързо критичните уязвимости се превръщат в споделени ресурси в целия пейзаж на заплахите.
