CVE-2025-8088 WinRAR 취약점
보안 연구원들은 여러 위협 행위자들이 RARLAB WinRAR의 심각한 취약점을 광범위하게 악용한 사례를 발견했습니다. 이 취약점은 이미 패치된 상태입니다. 국가 차원의 공격자들과 금전적 이익을 목적으로 하는 집단 모두 이 취약점을 이용하여 표적 환경에 대한 초기 접근 권한을 확보하고 다양한 악성 페이로드를 배포했습니다. 2025년 7월에 패치가 적용되었음에도 불구하고, 이 취약점은 다양한 공격 환경에서 계속해서 악용되고 있으며, 이는 패치가 적용되지 않은 소프트웨어와 관련된 지속적인 위험성을 보여줍니다.
목차
CVE-2025-8088: 기술 개요 및 영향
CVE-2025-8088로 추적되고 CVSS 점수가 8.8인 이 취약점은 2025년 7월 30일에 출시된 WinRAR 버전 7.13에서 해결되었습니다. 이 취약점을 악용하면 취약한 버전의 소프트웨어에서 특수하게 제작된 압축 파일을 열어 임의 코드를 실행할 수 있습니다. 근본적인 원인은 경로 탐색 결함으로, 공격자는 이를 통해 파일을 Windows 시작 폴더와 같은 민감한 위치에 배치하여 은밀하게 시스템을 유지하고 시스템 재시작 및 사용자 로그인 시 자동으로 실행할 수 있습니다.
이러한 공격 기법은 기본적인 애플리케이션 보안 관리 및 최종 사용자 인식 측면에서 더 광범위한 방어적 허점을 반영합니다.
제로데이 공격부터 N-데이 공격까지: 공격의 진화
해당 취약점은 2025년 7월 18일경 제로데이 공격으로 악용되었으며, 특히 이중적인 목적을 가진 위협 그룹인 RomCom(CIGAR 또는 UNC4895로도 알려짐)이 이를 이용했습니다. 이들은 SnipBot(NESTPACKER) 악성코드의 변종을 유포했습니다. 연구원들은 또한 이와 관련된 활동이 쿠바 랜섬웨어 배포와 연관된 UNC2596으로 추적되는 클러스터와도 관련이 있다고 보고 있습니다.
해당 취약점이 공개되고 패치가 적용된 후, 빠르게 확산되어 n-day 취약점이 악용되었습니다. 공격자들은 주로 악성 파일, 특히 대체 데이터 스트림(ADS)에 숨겨진 Windows 바로가기(LNK) 페이로드를 미끼 콘텐츠에 삽입했습니다. 추출된 이러한 파일은 미리 정해진 시스템 경로에 배치되고 재부팅 후 자동으로 실행됩니다.
국가 주도 작전, 착취 범위 확대
여러 정부 연계 위협 그룹이 CVE-2025-8088을 실제 캠페인에 활용하고 있습니다. 특히 러시아와 연계된 세력은 맞춤형 미끼와 보조 페이로드를 사용하여 첩보 활동과 시스템 파괴라는 두 가지 목표를 달성하고 있습니다.
- Sandworm(APT44 또는 FROZENBARENTS로도 알려짐)은 우크라이나 관련 위장 파일이 포함된 압축 파일과 추가 구성 요소를 검색하도록 설계된 악성 LNK 페이로드를 함께 배포했습니다.
- Gamaredon(CARPATHIAN으로도 알려짐)은 RAR 압축 파일을 사용하여 우크라이나 정부 기관을 표적으로 삼았으며, 이 파일에는 HTML 애플리케이션 다운로더(HTA)가 첫 번째 단계로 포함되어 있었습니다.
이와 동시에 중국에 기반을 둔 위협 행위자는 동일한 취약점을 악용하여 Poison Ivy를 설치했는데, 이는 Windows 시작 폴더에 삽입되는 배치 스크립트를 통해 배포되며 보조 드로퍼를 가져오도록 구성되어 있습니다.
금전적 동기가 있는 캠페인 및 상업적 타겟팅
사이버 범죄 조직들은 이 취약점을 신속하게 이용하여 일반적인 원격 접속 트로이목마(RAT)와 정보 탈취 악성코드를 기업 고객들에게 배포했습니다. 관찰된 악성코드에는 텔레그램 봇으로 제어되는 백도어뿐만 아니라 AsyncRAT 및 XWorm과 같은 악성코드 계열도 포함됩니다.
주목할 만한 사례로, 브라질 사용자를 표적으로 삼는 것으로 알려진 사이버 범죄 조직이 악성 크롬 확장 프로그램을 배포했습니다. 이 확장 프로그램은 브라질 은행 웹사이트 두 곳에 자바스크립트를 삽입하여 피싱 콘텐츠를 표시하고 사용자 자격 증명을 탈취했는데, 이는 WinRAR 취약점을 통해 얻은 초기 접근 권한이 얼마나 유연하게 악용될 수 있는지를 보여줍니다.
지하 시장과 착취의 상품화
CVE-2025-8088의 신속하고 광범위한 확산은 활발한 불법 공격 시장의 영향 때문인 것으로 분석됩니다. WinRAR 익스플로잇이 수천 달러에 거래되었다는 보고가 있으며, 이는 다양한 공격자들이 쉽게 접근할 수 있도록 진입 장벽을 낮췄습니다. 'zeroplayer'라는 가명을 사용하는 한 공급업체는 CVE-2025-8088이 공개되기 몇 주 전부터 WinRAR 익스플로잇을 판매했습니다.
제로플레이어가 상위 공급업체로서 지속적인 역할을 수행하는 것은 공격 라이프사이클의 상품화를 보여줍니다. 즉, 즉시 사용 가능한 익스플로잇 기능이 개발 비용을 절감하고 다양한 동기를 가진 그룹이 정교한 작전을 수행할 수 있도록 해줍니다.
더 광범위한 패턴: WinRAR의 추가적인 취약점들이 공격받고 있다
이러한 활동은 또 다른 WinRAR 취약점인 CVE-2025-6218(CVSS 점수: 7.8)에 대한 악용 시도와 동시에 발생했습니다. GOFFEE, Bitter, Gamaredon을 포함한 여러 위협 행위자들이 이 별개의 취약점을 악용하는 것이 관찰되었으며, 이는 공개된 지 얼마 되지 않은 취약점이 제기하는 지속적인 위협과 공격자들이 새롭게 드러난 취약점을 얼마나 빠르게 실전에 적용하는지를 보여줍니다.
수비수에게 주는 전략적 시사점
패치가 적용된 WinRAR 취약점을 지속적으로 악용하는 사례는 시기적절한 패치 관리, 사용자 인식 교육, 그리고 시작 디렉터리에 무단으로 저장된 파일과 같은 지속성 메커니즘에 대한 모니터링의 중요성을 강조합니다. 국가 지원 악용과 범죄 조직 악용이 동시에 발생하는 것은 심각한 취약점이 얼마나 빠르게 위협 환경 전반에 걸쳐 공유 자원이 되는지 보여줍니다.
