WinRAR দুর্বলতা CVE-2025-6218

মার্কিন সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (CISA) আনুষ্ঠানিকভাবে তাদের Known Exploited Vulnerabilities (KEV) ক্যাটালগে WinRAR ফাইল আর্কাইভার এবং কম্প্রেশন ইউটিলিটিতে একটি নিরাপত্তা ত্রুটি যুক্ত করেছে। সংস্থাটি প্রমাণ উদ্ধৃত করেছে যে এই দুর্বলতাটি সক্রিয়ভাবে কাজে লাগানো হচ্ছে, যা সংস্থা এবং ব্যক্তিগত ব্যবহারকারী উভয়ের জন্যই উদ্বেগের কারণ হয়ে দাঁড়িয়েছে।

CVE-2025-6218 হিসেবে ট্র্যাক করা এই ত্রুটিটি, যার CVSS স্কোর 7.8, একটি পাথ ট্র্যাভার্সাল দুর্বলতা যা একজন আক্রমণকারীকে বর্তমান ব্যবহারকারীর প্রেক্ষাপটে কোড কার্যকর করতে দেয়। সফল শোষণের জন্য লক্ষ্যবস্তুকে হয় একটি ক্ষতিকারক ওয়েবসাইট পরিদর্শন করতে হবে অথবা একটি বিশেষভাবে তৈরি ফাইল খুলতে হবে।

ত্রুটি এবং প্যাচের স্থিতির বিবরণ

RARLAB ২০২৫ সালের জুনে প্রকাশিত WinRAR 7.12-তে এই দুর্বলতা মোকাবেলা করেছে। এই ত্রুটিটি কেবল উইন্ডোজ-ভিত্তিক বিল্ডগুলিকে প্রভাবিত করে; ইউনিক্স, অ্যান্ড্রয়েড এবং অন্যান্য প্ল্যাটফর্মের সংস্করণগুলি এখনও অক্ষত রয়েছে।

এই দুর্বলতা আক্রমণকারীদেরকে সংবেদনশীল সিস্টেম অবস্থানে ফাইল স্থাপন করতে সক্ষম করে, যেমন উইন্ডোজ স্টার্টআপ ফোল্ডার, যা পরবর্তী সিস্টেম লগইনের সময় সম্ভাব্যভাবে অনিচ্ছাকৃত কোড কার্যকর করার কারণ হতে পারে।

হুমকি অভিনেতার কার্যকলাপ

একাধিক সাইবার নিরাপত্তা প্রতিবেদন ইঙ্গিত দেয় যে CVE-2025-6218 তিনটি স্বতন্ত্র হুমকি দাতা দ্বারা শোষিত হয়েছে:

• গফি (পেপার ওয়্যারউলফ)
• তিক্ত (APT-C-08 / ম্যানলিংহুয়া)
• গামারেডন
• গফি ক্যাম্পেইন

২০২৫ সালের জুলাই মাসে, GOFFEE ফিশিং ইমেলের মাধ্যমে সংস্থাগুলিকে লক্ষ্য করার জন্য CVE-2025-6218 কে CVE-2025-8088, আরেকটি উচ্চ-তীব্র WinRAR পাথ ট্র্যাভার্সাল দুর্বলতা (CVSS স্কোর 8.8) এর সাথে একত্রিত করে বলে অভিযোগ। এই আক্রমণগুলি কর্পোরেট পরিবেশের সাথে আপস করার জন্য একটি সমন্বিত এবং পরিশীলিত প্রচেষ্টার ইঙ্গিত দেয়।

তিক্ত APT শোষণ

দক্ষিণ এশিয়া-কেন্দ্রিক APT গ্রুপ, বিটার, এই দুর্বলতাকে অস্ত্র হিসেবে ব্যবহার করে আপোস করা সিস্টেমে স্থায়িত্ব বজায় রাখে এবং হালকা ডাউনলোডার ব্যবহার করে একটি C# ট্রোজান স্থাপন করে। এই আক্রমণে AJK.rar-এর জন্য Provision of Information for Sectoral নামে একটি RAR আর্কাইভ জড়িত, যাতে একটি বিনয়ী Word ডকুমেন্ট এবং একটি ক্ষতিকারক ম্যাক্রো টেমপ্লেট রয়েছে।

আক্রমণের মূল কৌশলগুলির মধ্যে রয়েছে:

• মাইক্রোসফট ওয়ার্ডের গ্লোবাল টেমপ্লেট পাথে Normal.dotm ড্রপ করা, যাতে প্রতিবার ওয়ার্ড খোলার সময় ম্যাক্রো স্বয়ংক্রিয়ভাবে কার্যকর হয়।

এই আর্কাইভগুলি মূলত স্পিয়ার-ফিশিং প্রচারণার মাধ্যমে বিতরণ করা হয়।

গামারেডন শোষণ

রাশিয়া-অনুমোদিত গ্যামারেডন গ্রুপটি ইউক্রেনীয় সামরিক, সরকারি, রাজনৈতিক এবং প্রশাসনিক সংস্থাগুলিকে লক্ষ্য করে ফিশিং প্রচারণায় CVE-2025-6218 ব্যবহার করেছে। Pteranodon নামে পরিচিত এই ম্যালওয়্যারটি প্রথম ২০২৫ সালের নভেম্বরে দেখা যায়।

প্রমাণ ইঙ্গিত দেয় যে এটি কোনও সুযোগসন্ধানী কার্যকলাপ নয়। এটি কাঠামোগত, সামরিক-ভিত্তিক গুপ্তচরবৃত্তি এবং নাশকতার প্রতিনিধিত্ব করে, সম্ভবত রাশিয়ান রাষ্ট্রীয় গোয়েন্দা সংস্থা দ্বারা সমন্বিত। অতিরিক্তভাবে, গ্যামারেডন ভিজ্যুয়াল বেসিক স্ক্রিপ্ট ম্যালওয়্যার সরবরাহ করতে এবং গামাওয়াইপার নামে একটি ধ্বংসাত্মক ওয়াইপার স্থাপন করতে CVE-2025-8088 অপব্যবহার করেছে, যা গুপ্তচরবৃত্তি থেকে ধ্বংসাত্মক ক্রিয়াকলাপে গোষ্ঠীর প্রথম পর্যবেক্ষণযোগ্য রূপান্তর চিহ্নিত করে।

নিরাপত্তা দলের জন্য গুরুত্বপূর্ণ বিষয়গুলি

সংস্থা এবং নিরাপত্তা দলগুলির নিম্নলিখিত পদক্ষেপগুলিকে অগ্রাধিকার দেওয়া উচিত:

• WinRAR চালিত সমস্ত উইন্ডোজ সিস্টেম 7.12 বা তার পরবর্তী সংস্করণে আপডেট করা হয়েছে তা নিশ্চিত করুন।
• ফিশিং প্রচারণার বিরুদ্ধে সতর্ক থাকুন, বিশেষ করে RAR আর্কাইভ বা ওয়ার্ড ডকুমেন্ট সম্বলিত স্পিয়ার-ফিশিং ইমেলগুলির বিরুদ্ধে।
• ক্রমাগত ব্যাকডোর, কীলগিং, অথবা C2 যোগাযোগের প্রচেষ্টার ইঙ্গিত দেয় এমন সন্দেহজনক কার্যকলাপ পর্যবেক্ষণ করুন।
• রাষ্ট্র-স্পন্সরিত ব্যক্তিরা লক্ষ্যবস্তু আক্রমণের জন্য একাধিক দুর্বলতা একত্রিত করতে পারে তা স্বীকার করুন।

এই উন্নত হুমকিগুলি প্রশমিত করতে এবং CVE-2025-6218-এর মতো শোষিত দুর্বলতার কার্যকরী প্রভাব সীমিত করার জন্য প্রোঅ্যাকটিভ প্যাচিং, ইমেল সুরক্ষা স্বাস্থ্যবিধি এবং এন্ডপয়েন্ট পর্যবেক্ষণ অত্যন্ত গুরুত্বপূর্ণ।