Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Haavatavus CVE-2025-8088 WinRAR-i haavatavus

CVE-2025-8088 WinRAR-i haavatavus

Aastaks Mezo aastal Haavatavus
Tõlgi:

Turvauurijad on avastanud RARLAB WinRAR-i nüüdseks parandatud kriitilise haavatavuse ulatusliku ärakasutamise mitmete ohurühmade poolt. Nii riikide vastased kui ka rahaliselt motiveeritud rühmitused on seda viga ära kasutanud, et saada esialgne juurdepääs sihtkeskkondadele ja levitada laia valikut pahatahtlikke ressursse. Vaatamata sellele, et haavatavus parandati 2025. aasta juulis, kuritarvitatakse seda jätkuvalt erinevates operatsioonides, mis toob esile parandamata tarkvaraga seotud püsivad riskid.

CVE-2025-8088: Tehniline ülevaade ja mõju

Haavatavuse, mis registreeriti kui CVE-2025-8088 ja mille CVSS-skoor oli 8,8, lahendati WinRAR-i versioonis 7.13, mis avaldati 30. juulil 2025. See haavatavus võimaldab suvalise koodi käivitamist spetsiaalselt loodud arhiivifailide kaudu, mis on avatud tarkvara haavatavates versioonides. Peamine põhjus on teekonna läbimise viga, mis võimaldab ründajatel faile tundlikesse kohtadesse, eelkõige Windowsi käivituskausta, paigutada, võimaldades varjatud püsimist ja automaatset käivitamist süsteemi taaskäivitamisel ja kasutaja sisselogimisel.

See ärakasutamise tehnika peegeldab laiemat kaitselünka rakenduste põhiturbehügieenis ja lõppkasutajate teadlikkuses.

Nullpäevast N-päevani: rünnakute areng

Seda viga kasutati nullpäevaveana juba 18. juulil 2025, eelkõige kahese motiiviga ohugrupi RomCom (tuntud ka kui CIGAR või UNC4895) poolt. Need operatsioonid levitasid SnipBot (NESTPACKER) pahavara varianti. Teadlased seostavad seotud tegevust ka klastriga, mida jälgitakse kui UNC2596 ja mis on seostatud Kuuba lunavara juurutamisega.

Pärast avalikustamist ja paranduste paigaldamist muutus haavatavus kiiresti laialdaselt ärakasutatavaks n-päeva haavatavuseks, kus ründajad manustasid peibutisisu sisse pahatahtlikke faile, sageli alternatiivsetes andmevoogudes (ADS) peidetud Windowsi otseteid (LNK). Pärast lahtipakkimist paigutatakse need failid etteantud süsteemiradadele ja käivitatakse automaatselt pärast taaskäivitamist.

Rahvusriikide operatsioonid laiendavad ekspluateerimist

Mitmed valitsusega seotud ohurühmitused on lisanud CVE-2025-8088 oma aktiivsetesse kampaaniatesse. Eelkõige on Venemaaga seotud rühmitused kasutanud nii spionaaži kui ka häirivate eesmärkide saavutamiseks kohandatud peibutisi ja teiseseid kasulikke vahendeid:

  • Sandworm (tuntud ka kui APT44 või FROZENBARENTS) levitas arhiive, mis sisaldasid Ukraina-teemalisi peibutusfaile koos pahatahtlike LNK-failidega, mis olid loodud lisakomponentide hankimiseks.
  • Gamaredon (tuntud ka kui CARPATHIAN) sihitas Ukraina valitsusasutusi RAR-arhiivide abil, mis esimeses etapis edastasid HTML-rakenduste (HTA) allalaadijaid.
  • Turla (tuntud ka kui SUMMIT) kuritarvitas seda viga STOCKSTAY pahavara raamistiku levitamiseks, kasutades sotsiaalse manipuleerimise teemasid, mis on seotud Ukraina sõjaväe ja droonidega seotud tegevustega.

Paralleelselt on Hiinas asuv ohutegija sama haavatavuse relvaks muutnud, et installida Poison Ivy, mis edastatakse Windowsi käivituskausta asetatud partiiskripti kaudu ja konfigureeritakse hankima teisejärgulist dripperit.

Rahaliselt motiveeritud kampaaniad ja reklaami sihtimine

Küberkurjategijate rühmitused võtsid selle haavatavuse kiiresti omaks, et kasutada kommertsohvrite vastu kaugjuurdepääsuga troojalasi (RAT-e) ja teabevaraseid. Täheldatud kasulike programmide hulka kuuluvad Telegrami bottide juhitavad tagauksed, samuti pahavara perekonnad nagu AsyncRAT ja XWorm.

Ühes tähelepanuväärses kampaanias levitas Brasiilia kasutajate sihtimise poolest tuntud küberkuritegude rühmitus pahatahtlikku Chrome'i laiendust. See laiendus süstis JavaScripti kahe Brasiilia pangandusveebisaidi lehtedele, et kuvada andmepüügisisu ja koguda kasutajate andmeid, demonstreerides WinRAR-i ärakasutamise kaudu saadud esialgse juurdepääsu paindlikkust.

Varjatud turud ja ekspluateerimise kaubastamine

CVE-2025-8088 kiire ja laialdase kasutuselevõtu põhjuseks peetakse õitsvat varjatud rünnakute majandust. WinRAR-i rünnakuid reklaamiti väidetavalt tuhandete dollarite eest, alandades turule sisenemise barjääri laiale hulgale osalejatele. Varjunime 'zeroplayer' all tegutsev tarnija turustas WinRAR-i rünnakut nädalatel enne CVE-2025-8088 avalikustamist.

Zeroplayeri jätkuv roll ülesvoolu pakkujana illustreerib rünnaku elutsükli kaubaks muutumist, kus võtmed kätte pakutavad ärakasutamise võimalused vähendavad arenduskulusid ja võimaldavad erineva motivatsiooniga rühmitustel läbi viia keerukaid operatsioone.

Laiem muster: rünnaku all on täiendavad WinRAR-i vead

See tegevus langeb kokku teise WinRAR-i haavatavuse, CVE-2025-6218 (CVSS skoor: 7,8), ärakasutamise katsetega. On täheldatud, et mitmed ohutegijad, sealhulgas GOFFEE, Bitter ja Gamaredon, kasutavad seda eraldi viga ära, tugevdades n-päevaste haavatavuste tekitatud jätkuvat ohtu ja kiirust, millega vastased äsja avalikustatud nõrkusi rakendavad.

Strateegilised tagajärjed kaitsjatele

Paigandatud WinRAR-i haavatavuste pidev kuritarvitamine rõhutab õigeaegse paranduste haldamise, kasutajate teadlikkuse koolituse ja püsivusmehhanismide (nt käivituskataloogides olevate volitamata failide) jälgimise olulisust. Riiklikult toetatud ja kuritegeliku ärakasutamise koondumine näitab veelgi, kui kiiresti muutuvad kriitilised haavatavused jagatud ressurssideks kogu ohumaastikul.

Trendikas

Trump Tokeni õhuülekandega seotud õhuülekande pettus

Andmepüük, Rogue veebisaidid
Ootamatute või soovimatute meilidega tegelemisel on valvsaks jäämine ülioluline. Küberkurjategijad kasutavad üha enam hästi koostatud sõnumeid, mis jäljendavad populaarseid kaubamärke, trendikaid projekte või kõrgetasemelisi teemasid, et manipuleerida saajaid tundlikku teavet avaldama. Nn Trump Token Airdropi meilid kuuluvad täpselt sellesse kategooriasse. Need sõnumid ei ole seotud ühegi...

Enim vaadatud

Laadimine...