آسیب‌پذیری CVE-2025-8088 در WinRAR

محققان امنیتی، سوءاستفاده گسترده از یک آسیب‌پذیری حیاتی که اکنون وصله شده است را در نرم‌افزار WinRAR RARLAB کشف کرده‌اند که توسط چندین عامل تهدید مورد بهره‌برداری قرار گرفته است. هم دشمنان دولتی و هم گروه‌های دارای انگیزه مالی، از این نقص برای دسترسی اولیه به محیط‌های هدف و استقرار طیف گسترده‌ای از بدافزارها استفاده کرده‌اند. با وجود وصله شدن این آسیب‌پذیری در ژوئیه ۲۰۲۵، این آسیب‌پذیری همچنان در عملیات‌های مختلف مورد سوءاستفاده قرار می‌گیرد و خطرات مداوم مرتبط با نرم‌افزارهای وصله نشده را برجسته می‌کند.

CVE-2025-8088: بررسی فنی و تأثیر آن

این آسیب‌پذیری که با شناسه CVE-2025-8088 و امتیاز CVSS 8.8 ردیابی می‌شود، در WinRAR نسخه ۷.۱۳ که در ۳۰ ژوئیه ۲۰۲۵ منتشر شد، برطرف شده است. بهره‌برداری از این آسیب‌پذیری، اجرای کد دلخواه را از طریق فایل‌های آرشیو دستکاری‌شده‌ی خاص که در نسخه‌های آسیب‌پذیر نرم‌افزار باز می‌شوند، امکان‌پذیر می‌سازد. علت اصلی، یک نقص پیمایش مسیر است که به مهاجمان اجازه می‌دهد فایل‌ها را در مکان‌های حساس، به‌ویژه پوشه‌ی راه‌اندازی ویندوز، قرار دهند و امکان ماندگاری مخفیانه و اجرای خودکار پس از راه‌اندازی مجدد سیستم و ورود کاربر را فراهم کند.

این تکنیک بهره‌برداری، نشان‌دهنده‌ی شکاف دفاعی وسیع‌تری در بهداشت امنیتی اولیه‌ی برنامه‌ها و آگاهی کاربر نهایی است.

از حملات روز صفر تا روز چندم: تکامل حملات

این نقص امنیتی به عنوان یک آسیب‌پذیری روز صفر در اوایل ۱۸ ژوئیه ۲۰۲۵، به ویژه توسط گروه تهدید دو انگیزه‌ای RomCom (که با نام‌های CIGAR یا UNC4895 نیز شناخته می‌شود) مورد سوءاستفاده قرار گرفت. این عملیات، نوعی از بدافزار SnipBot (NESTPACKER) را منتقل کرد. محققان همچنین فعالیت‌های مرتبط را با خوشه‌ای که با نام UNC2596 ردیابی می‌شود، مرتبط می‌دانند که با استقرار باج‌افزار Cuba مرتبط دانسته شده است.

پس از افشای عمومی و وصله‌گذاری، این آسیب‌پذیری به سرعت به یک آسیب‌پذیری روز-n تبدیل شد که به طور گسترده مورد سوءاستفاده قرار می‌گرفت و مهاجمان فایل‌های مخرب، که اغلب شامل فایل‌های میانبر ویندوز (LNK) بودند و در جریان‌های داده جایگزین (ADS) پنهان شده بودند را درون محتوای فریبنده جاسازی می‌کردند. پس از استخراج، این فایل‌ها در مسیرهای از پیش تعیین‌شده سیستم قرار می‌گیرند و پس از راه‌اندازی مجدد به طور خودکار فعال می‌شوند.

عملیات‌های دولت-ملت، استثمار را گسترش می‌دهد

چندین گروه تهدید مرتبط با دولت، آسیب‌پذیری CVE-2025-8088 را در کمپین‌های فعال خود گنجانده‌اند. به ویژه، بازیگران وابسته به روسیه، از فریب‌های سفارشی و بدافزارهای ثانویه برای پیشبرد اهداف جاسوسی و مخرب خود استفاده کرده‌اند:

• Sandworm (که با نام‌های APT44 یا FROZENBARENTS نیز شناخته می‌شود) آرشیوهایی حاوی فایل‌های جعلی با تم اوکراینی را در کنار پیلودهای مخرب LNK که برای بازیابی اجزای اضافی طراحی شده‌اند، مستقر کرد.
• Gamaredon (که با نام CARPATHIAN نیز شناخته می‌شود) با استفاده از آرشیوهای RAR که در مرحله اول دانلودکننده‌های HTML Application (HTA) را ارائه می‌دادند، نهادهای دولتی اوکراین را هدف قرار داد.

به موازات آن، یک عامل تهدید مستقر در چین از همین آسیب‌پذیری برای نصب Poison Ivy استفاده کرده است که از طریق یک اسکریپت دسته‌ای که در پوشه راه‌اندازی ویندوز قرار داده شده و برای بازیابی یک دراپر ثانویه پیکربندی شده است، اجرا می‌شود.

کمپین‌های با انگیزه مالی و هدف‌گیری تجاری

گروه‌های مجرمان سایبری به سرعت از این آسیب‌پذیری برای استقرار تروجان‌های دسترسی از راه دور (RAT) و سارقان اطلاعات علیه قربانیان تجاری استفاده کردند. پی‌لودهای مشاهده‌شده شامل درهای پشتی کنترل‌شده توسط ربات تلگرام و همچنین خانواده‌های بدافزاری مانند AsyncRAT و XWorm هستند.

در یک کمپین قابل توجه، یک گروه جرایم سایبری که به هدف قرار دادن کاربران برزیلی شناخته می‌شود، یک افزونه مخرب کروم را توزیع کرد. این افزونه، جاوا اسکریپت را به صفحات دو وب‌سایت بانکی برزیلی تزریق می‌کرد تا محتوای فیشینگ ارائه دهد و اطلاعات کاربری را جمع‌آوری کند، که نشان‌دهنده انعطاف‌پذیری دسترسی اولیه به دست آمده از طریق اکسپلویت WinRAR است.

بازارهای زیرزمینی و کالایی شدن استثمارها

پذیرش سریع و گسترده‌ی آسیب‌پذیری CVE-2025-8088 ناشی از یک اقتصاد زیرزمینیِ پررونقِ بهره‌برداری ارزیابی می‌شود. طبق گزارش‌ها، بهره‌برداری‌های WinRAR با هزاران دلار تبلیغ می‌شدند و موانع ورود طیف وسیعی از بازیگران را کاهش می‌دادند. یک تأمین‌کننده که با نام مستعار «zeroplayer» فعالیت می‌کرد، چند هفته قبل از افشای عمومی CVE-2025-8088، یک بهره‌برداری WinRAR را به بازار عرضه کرد.

نقش مداوم Zeroplayer به عنوان یک ارائه‌دهنده‌ی خدمات بالادستی، نشان‌دهنده‌ی کالایی شدن چرخه‌ی عمر حمله است، جایی که قابلیت‌های بهره‌برداری آماده، هزینه‌های توسعه را کاهش می‌دهد و گروه‌هایی با انگیزه‌های متنوع را قادر می‌سازد تا عملیات پیچیده‌ای را انجام دهند.

یک الگوی گسترده‌تر: نقص‌های دیگر WinRAR تحت حمله

این فعالیت همزمان با تلاش‌های بهره‌برداری علیه یک آسیب‌پذیری دیگر WinRAR، با شناسه CVE-2025-6218 (امتیاز CVSS: 7.8) است. مشاهده شده است که چندین عامل تهدید، از جمله GOFFEE، Bitter و Gamaredon، از این نقص جداگانه سوءاستفاده می‌کنند و تهدید مداوم ناشی از آسیب‌پذیری‌های n روزه و سرعت عملیاتی شدن نقاط ضعف تازه افشا شده توسط مهاجمان را تقویت می‌کنند.

پیامدهای استراتژیک برای مدافعان

سوءاستفاده مداوم از آسیب‌پذیری‌های وصله‌شده WinRAR، اهمیت مدیریت به‌موقع وصله‌ها، آموزش آگاهی‌بخشی به کاربران و نظارت بر سازوکارهای ماندگاری مانند فایل‌های غیرمجاز در دایرکتوری‌های راه‌اندازی را برجسته می‌کند. همگرایی سوءاستفاده‌های تحت حمایت دولت و سوءاستفاده‌های مجرمانه، بیشتر نشان می‌دهد که آسیب‌پذیری‌های حیاتی چقدر سریع به منابع مشترک در سراسر چشم‌انداز تهدید تبدیل می‌شوند.