CVE-2025-8088 ចំណុចខ្សោយ WinRAR
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានរកឃើញការកេងប្រវ័ញ្ចយ៉ាងទូលំទូលាយនៃចំណុចខ្សោយដ៏សំខាន់ដែលត្រូវបានជួសជុលរួចហើយនៅក្នុង RARLAB WinRAR ដោយអ្នកគំរាមកំហែងជាច្រើន។ ទាំងគូប្រជែងរដ្ឋ និងក្រុមដែលមានការលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុបានទាញយកអត្ថប្រយោជន៍ពីចំណុចខ្សោយនេះដើម្បីទទួលបានការចូលប្រើដំបូងទៅកាន់បរិស្ថានគោលដៅ និងដាក់ពង្រាយបន្ទុកមេរោគជាច្រើនប្រភេទ។ ទោះបីជាត្រូវបានជួសជុលនៅក្នុងខែកក្កដា ឆ្នាំ 2025 ក៏ដោយ ក៏ចំណុចខ្សោយនេះនៅតែបន្តត្រូវបានរំលោភបំពាននៅទូទាំងប្រតិបត្តិការផ្សេងៗគ្នា ដោយបង្ហាញពីហានិភ័យជាប់លាប់ដែលទាក់ទងនឹងកម្មវិធីដែលមិនទាន់ជួសជុល។
តារាងមាតិកា
CVE-2025-8088: ទិដ្ឋភាពទូទៅបច្ចេកទេស និងផលប៉ះពាល់
ភាពងាយរងគ្រោះនេះ ដែលត្រូវបានតាមដានថាជា CVE-2025-8088 ជាមួយនឹងពិន្ទុ CVSS 8.8 ត្រូវបានដោះស្រាយនៅក្នុង WinRAR កំណែ 7.13 ដែលចេញផ្សាយនៅថ្ងៃទី 30 ខែកក្កដា ឆ្នាំ 2025។ ការកេងប្រវ័ញ្ចអនុញ្ញាតឱ្យមានការប្រតិបត្តិកូដតាមអំពើចិត្តតាមរយៈឯកសារបណ្ណសារដែលបង្កើតឡើងជាពិសេសដែលបើកនៅក្នុងកំណែងាយរងគ្រោះនៃកម្មវិធី។ មូលហេតុចម្បងគឺកំហុសឆ្គងផ្លូវឆ្លងកាត់ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារទម្លាក់ឯកសារទៅក្នុងទីតាំងរសើប ជាពិសេសថតឯកសារ Windows Startup ដែលអនុញ្ញាតឱ្យមានការរក្សាភាពសម្ងាត់ និងការប្រតិបត្តិដោយស្វ័យប្រវត្តិនៅពេលចាប់ផ្តើមប្រព័ន្ធឡើងវិញ និងការចូលរបស់អ្នកប្រើប្រាស់។
បច្ចេកទេសកេងប្រវ័ញ្ចនេះឆ្លុះបញ្ចាំងពីគម្លាតការពារកាន់តែទូលំទូលាយនៅក្នុងអនាម័យសុវត្ថិភាពកម្មវិធីជាមូលដ្ឋាន និងការយល់ដឹងរបស់អ្នកប្រើប្រាស់ចុងក្រោយ។
ពីថ្ងៃសូន្យដល់ថ្ងៃ N៖ ការវិវត្តនៃការវាយប្រហារ
ចំណុចខ្សោយនេះត្រូវបានគេកេងប្រវ័ញ្ចជាថ្ងៃសូន្យ នៅដើមថ្ងៃទី 18 ខែកក្កដា ឆ្នាំ 2025 ជាពិសេសដោយក្រុមគំរាមកំហែងពីរប្រភេទ RomCom (ត្រូវបានគេស្គាល់ផងដែរថាជា CIGAR ឬ UNC4895)។ ប្រតិបត្តិការទាំងនេះបានបញ្ជូនមេរោគ SnipBot (NESTPACKER) បំរែបំរួលមួយ។ អ្នកស្រាវជ្រាវក៏ភ្ជាប់សកម្មភាពពាក់ព័ន្ធជាមួយចង្កោមដែលត្រូវបានតាមដានថាជា UNC2596 ដែលត្រូវបានភ្ជាប់ទៅនឹងការដាក់ពង្រាយ Cuba Ransomware។
បន្ទាប់ពីការបង្ហាញជាសាធារណៈ និងការបិទភ្ជាប់ ភាពងាយរងគ្រោះនេះបានផ្លាស់ប្តូរយ៉ាងឆាប់រហ័សទៅជាការកេងប្រវ័ញ្ចយ៉ាងទូលំទូលាយ n-day ដោយអ្នកវាយប្រហារបង្កប់ឯកសារព្យាបាទ ជាញឹកញាប់ជា payloads ផ្លូវកាត់វីនដូ (LNK) ដែលលាក់នៅក្នុងស្ទ្រីមទិន្នន័យជំនួស (ADS) នៅខាងក្នុងខ្លឹមសារក្លែងក្លាយ។ នៅពេលដែលស្រង់ចេញ ឯកសារទាំងនេះត្រូវបានដាក់ទៅក្នុងផ្លូវប្រព័ន្ធដែលបានកំណត់ទុកជាមុន ហើយត្រូវបានបង្កឡើងដោយស្វ័យប្រវត្តិបន្ទាប់ពីការចាប់ផ្តើមឡើងវិញ។
ប្រតិបត្តិការជាតិ-រដ្ឋ ពង្រីកការកេងប្រវ័ញ្ច
ក្រុមគំរាមកំហែងជាច្រើនដែលមានទំនាក់ទំនងជាមួយរដ្ឋាភិបាលបានដាក់បញ្ចូល CVE-2025-8088 ទៅក្នុងយុទ្ធនាការសកម្ម។ ជាពិសេស តួអង្គដែលមានសម្ព័ន្ធភាពជាមួយរុស្ស៊ីបានប្រើប្រាស់ល្បិចកល និងបន្ទុកបន្ទាប់បន្សំដែលត្រូវបានរៀបចំឡើងដើម្បីជំរុញទាំងគោលបំណងចារកម្ម និងគោលបំណងបង្កការរំខាន៖
- មេរោគ Sandworm (ត្រូវបានគេស្គាល់ផងដែរថាជា APT44 ឬ FROZENBARENTS) បានដាក់ពង្រាយបណ្ណសារដែលមានឯកសារក្លែងក្លាយដែលមានប្រធានបទអ៊ុយក្រែន រួមជាមួយនឹងបន្ទុក LNK ព្យាបាទដែលត្រូវបានរចនាឡើងដើម្បីទាញយកសមាសធាតុបន្ថែម។
- Gamaredon (ដែលត្រូវបានគេស្គាល់ផងដែរថាជា CARPATHIAN) បានកំណត់គោលដៅអង្គភាពរដ្ឋាភិបាលអ៊ុយក្រែនដោយប្រើបណ្ណសារ RAR ដែលបញ្ជូនកម្មវិធីទាញយក HTML Application (HTA) ជាដំណាក់កាលដំបូង។
ក្នុងពេលជាមួយគ្នានេះ អ្នកគំរាមកំហែងដែលមានមូលដ្ឋាននៅប្រទេសចិនបានប្រើប្រាស់ភាពងាយរងគ្រោះដូចគ្នាដើម្បីដំឡើង Poison Ivy ដែលត្រូវបានបញ្ជូនតាមរយៈស្គ្រីបបាច់ដែលបានទម្លាក់ចូលទៅក្នុងថតឯកសារ Windows Startup ហើយត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីទាញយកដំណក់បន្ទាប់បន្សំ។
យុទ្ធនាការដែលមានការលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុ និងការកំណត់គោលដៅពាណិជ្ជកម្ម
ក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានទទួលយកភាពងាយរងគ្រោះនេះយ៉ាងឆាប់រហ័សដើម្បីដាក់ពង្រាយមេរោគ Trojans ចូលប្រើពីចម្ងាយ (RATs) និងអ្នកលួចព័ត៌មានប្រឆាំងនឹងជនរងគ្រោះពាណិជ្ជកម្ម។ បន្ទុកផ្ទុកទិន្នន័យដែលត្រូវបានគេសង្កេតឃើញរួមមាន Backdoor ដែលគ្រប់គ្រងដោយ Telegram bot ក៏ដូចជាក្រុមគ្រួសារមេរោគដូចជា AsyncRAT និង XWorm។
នៅក្នុងយុទ្ធនាការគួរឱ្យកត់សម្គាល់មួយ ក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលត្រូវបានគេស្គាល់ថាជាអ្នកកំណត់គោលដៅអ្នកប្រើប្រាស់ប្រេស៊ីលបានចែកចាយផ្នែកបន្ថែម Chrome ដ៏គ្រោះថ្នាក់មួយ។ ផ្នែកបន្ថែមនេះបានចាក់ JavaScript ចូលទៅក្នុងទំព័រនៃគេហទំព័រធនាគារប្រេស៊ីលពីរ ដើម្បីបង្ហាញខ្លឹមសារបន្លំ និងប្រមូលព័ត៌មានសម្ងាត់អ្នកប្រើប្រាស់ ដែលបង្ហាញពីភាពបត់បែននៃការចូលប្រើដំបូងដែលទទួលបានតាមរយៈការកេងប្រវ័ញ្ច WinRAR។
ទីផ្សារក្រោមដី និងការធ្វើពាណិជ្ជកម្មនៃការកេងប្រវ័ញ្ច
ការទទួលយកយ៉ាងឆាប់រហ័ស និងទូលំទូលាយនៃ CVE-2025-8088 ត្រូវបានវាយតម្លៃថាមានប្រភពមកពីសេដ្ឋកិច្ចលួចចូលក្រោមដីដ៏រីកចម្រើន។ ការលួចចូល WinRAR ត្រូវបានគេរាយការណ៍ថាមានតម្លៃរាប់ពាន់ដុល្លារ ដែលកាត់បន្ថយឧបសគ្គចំពោះការចូលប្រើប្រាស់សម្រាប់តួអង្គជាច្រើន។ អ្នកផ្គត់ផ្គង់មួយដែលដំណើរការក្រោមឈ្មោះក្លែងក្លាយ 'zeroplayer' បានធ្វើទីផ្សារការលួចចូល WinRAR ក្នុងសប្តាហ៍មុនពេលការបង្ហាញជាសាធារណៈនៃ CVE-2025-8088។
តួនាទីជាបន្តរបស់ Zeroplayer ក្នុងនាមជាអ្នកផ្តល់សេវាខាងលើបង្ហាញពីការធ្វើឲ្យមានលក្ខណៈពាណិជ្ជកម្មនៃវដ្តជីវិតនៃការវាយប្រហារ ដែលសមត្ថភាពកេងប្រវ័ញ្ចបែប turnkey កាត់បន្ថយថ្លៃដើមអភិវឌ្ឍន៍ និងអនុញ្ញាតឲ្យក្រុមដែលមានការលើកទឹកចិត្តចម្រុះធ្វើប្រតិបត្តិការទំនើបៗ។
គំរូទូលំទូលាយជាងនេះ៖ ចំណុចខ្វះខាត WinRAR បន្ថែមក្រោមការវាយប្រហារ
សកម្មភាពនេះស្របគ្នាជាមួយនឹងការប៉ុនប៉ងកេងប្រវ័ញ្ចប្រឆាំងនឹងភាពងាយរងគ្រោះ WinRAR មួយផ្សេងទៀតគឺ CVE-2025-6218 (ពិន្ទុ CVSS: 7.8)។ តួអង្គគំរាមកំហែងជាច្រើន រួមទាំង GOFFEE, Bitter និង Gamaredon ត្រូវបានគេសង្កេតឃើញទាញយកប្រយោជន៍ពីចំណុចខ្សោយដាច់ដោយឡែកនេះ ដោយពង្រឹងការគំរាមកំហែងដែលកំពុងបន្តដែលបង្កឡើងដោយភាពងាយរងគ្រោះ n-day និងល្បឿនដែលសត្រូវដំណើរការចំណុចខ្សោយដែលទើបបង្ហាញថ្មីៗ។
ផលប៉ះពាល់ជាយុទ្ធសាស្ត្រសម្រាប់អ្នកការពារ
ការរំលោភបំពានជាបន្តបន្ទាប់នៃចំណុចខ្សោយ WinRAR ដែលបានជួសជុលរួច គូសបញ្ជាក់ពីសារៈសំខាន់នៃការគ្រប់គ្រងបំណះទាន់ពេលវេលា ការបណ្តុះបណ្តាលការយល់ដឹងរបស់អ្នកប្រើប្រាស់ និងការត្រួតពិនិត្យយន្តការរក្សាដូចជាឯកសារដែលគ្មានការអនុញ្ញាតនៅក្នុងថតឯកសារចាប់ផ្តើម។ ការបញ្ចូលគ្នានៃការកេងប្រវ័ញ្ចដែលឧបត្ថម្ភដោយរដ្ឋ និងការកេងប្រវ័ញ្ចព្រហ្មទណ្ឌបង្ហាញបន្ថែមទៀតអំពីរបៀបដែលចំណុចខ្សោយសំខាន់ៗក្លាយជាធនធានដែលបានចែករំលែកយ៉ាងឆាប់រហ័សនៅទូទាំងទេសភាពគំរាមកំហែង។
