CVE-2025-8088 „WinRAR“ pažeidžiamumas
Saugumo tyrėjai atskleidė, kad daugybė grėsmių veikėjų plačiai išnaudoja dabar pataisytą kritinę RARLAB WinRAR pažeidžiamumą. Tiek nacionalinės valstybės, tiek finansiškai motyvuotos grupuotės pasinaudojo šiuo trūkumu, kad gautų pradinę prieigą prie tikslinių aplinkų ir dislokuotų įvairius kenkėjiškus paketus. Nepaisant to, kad pažeidžiamumas buvo pataisytas 2025 m. liepos mėn., juo ir toliau piktnaudžiaujama įvairiose operacijose, o tai pabrėžia nuolatinę riziką, susijusią su nepataisyta programine įranga.
Turinys
CVE-2025-8088: Techninė apžvalga ir poveikis
Pažeidžiamumas, identifikuotas kaip CVE-2025-8088 ir įvertintas 8,8 CVSS balu, buvo ištaisytas „WinRAR“ 7.13 versijoje, išleistoje 2025 m. liepos 30 d. Išnaudojimas leidžia savavališkai vykdyti kodą per specialiai sukurtus archyvo failus, atidarytus pažeidžiamose programinės įrangos versijose. Pagrindinė priežastis yra kelio apėjimo klaida, leidžianti užpuolikams perkelti failus į jautrias vietas, ypač į „Windows“ paleisties aplanką, taip užtikrinant slaptą išlikimą ir automatinį vykdymą paleidus sistemą iš naujo ir vartotojui prisijungus.
Ši išnaudojimo technika atspindi platesnę gynybinę spragą pagrindinėse programų saugumo higienos ir galutinių vartotojų informuotumo srityse.
Nuo nulinės dienos iki N dienos: atakų evoliucija
Ši spraga buvo išnaudota kaip nulinės dienos klaida dar 2025 m. liepos 18 d., ypač dvigubos motyvacijos grėsmių grupės „RomCom“ (dar žinomos kaip CIGAR arba UNC4895). Šios operacijos pristatė „SnipBot“ (NESTPACKER) kenkėjiškos programos variantą. Tyrėjai taip pat sieja susijusią veiklą su klasteriu, stebimu kaip UNC2596, kuris buvo susietas su „Cuba Ransomware“ diegimais.
Po viešo atskleidimo ir pataisymų įdiegimo pažeidžiamumas greitai virto plačiai išnaudojama n-ųjų dienų problema, kai užpuolikai įterpė kenkėjiškus failus, dažnai „Windows“ nuorodų (LNK) paketus, paslėptus alternatyviuose duomenų srautuose (ADS), į masalo turinį. Išgauti šie failai patalpinami į iš anksto nustatytus sistemos kelius ir automatiškai suaktyvinami po perkrovimo.
Nacionalinių valstybių operacijos plečia išnaudojimą
Kelios su vyriausybe susijusios grėsmių grupuotės įtraukė CVE-2025-8088 į aktyvias kampanijas. Visų pirma, su Rusija susiję veikėjai naudojo specialiai pritaikytus masalus ir antrinius naudinguosius užtaisus šnipinėjimui ir trikdymui:
- „Sandworm“ (dar žinomas kaip APT44 arba FROZENBARENTS) kartu su kenkėjiškomis LNK naudingosiomis programomis, skirtomis papildomiems komponentams gauti, dislokavo archyvus, kuriuose buvo Ukrainos tematikos masalo failai.
- „Gamaredon“ (taip pat žinomas kaip „CARPATHIAN“) taikėsi į Ukrainos vyriausybines įstaigas, naudodamas RAR archyvus, kurie pirmajame etape teikė HTML programų (HTA) atsisiuntimo programas.
Tuo pačiu metu Kinijoje įsikūręs grėsmės veikėjas pavertė tą pačią pažeidžiamumą ginklu, kad įdiegtų „Poison Ivy“, pateiktą per paketinį scenarijų, įkeltą į „Windows“ paleisties aplanką ir sukonfigūruotą taip, kad būtų galima gauti antrinį įskiepį.
Finansiškai motyvuotos kampanijos ir komercinė taikymas
Kibernetinių nusikaltėlių grupuotės greitai pasinaudojo šia pažeidžiamumu, kad prieš komercines aukas galėtų dislokuoti nuotolinės prieigos Trojos arklius (RAT) ir informacijos vagis. Stebėti naudingieji failai apima „Telegram“ botų valdomas užpakalines duris, taip pat kenkėjiškų programų šeimas, tokias kaip „AsyncRAT“ ir „XWorm“.
Vienoje pastebimoje kampanijoje kibernetinių nusikaltimų grupuotė, žinoma dėl taikymųsi į Brazilijos vartotojus, platino kenkėjišką „Chrome“ plėtinį. Šis plėtinys į dviejų Brazilijos bankų svetainių puslapius įterpė „JavaScript“, kad pateiktų sukčiavimo turinį ir rinktų vartotojų prisijungimo duomenis, taip parodydamas pradinės prieigos, gautos pasinaudojus „WinRAR“ spragomis, lankstumą.
Pogrindinės rinkos ir išnaudojimų komercializavimas
Manoma, kad spartų ir platų CVE-2025-8088 paplitimą lėmė klestinti pogrindinė spragų ekonomika. Pranešama, kad „WinRAR“ spragų išnaudojimas buvo reklamuojamas už tūkstančius dolerių, taip sumažinant patekimo į rinką barjerą daugeliui veikėjų. Tiekėjas, veikiantis slapyvardžiu „zeroplayer“, pardavė „WinRAR“ spragą likus kelioms savaitėms iki viešo CVE-2025-8088 atskleidimo.
Nuolatinis „Zeroplayer“ vaidmuo kaip tiekėjos, teikiančios paslaugas tiekėjų rinkoje, iliustruoja atakų gyvavimo ciklo komercializaciją, kai jau paruoštos naudoti išnaudojimo galimybės sumažina kūrimo išlaidas ir suteikia galimybę grupėms, turinčioms įvairių motyvų, vykdyti sudėtingas operacijas.
Platesnis modelis: atakuojami papildomi „WinRAR“ trūkumai
Ši veikla sutampa su bandymais išnaudoti kitą „WinRAR“ pažeidžiamumą – CVE-2025-6218 (CVSS balas: 7,8). Pastebėta, kad keli grėsmių subjektai, įskaitant „GOFFEE“, „Bitter“ ir „Gamaredon“, pasinaudoja šiuo atskiru trūkumu, sustiprindami nuolatinę n dienų pažeidžiamumų keliamą grėsmę ir greitį, kuriuo priešininkai panaudoja naujai atskleistus trūkumus.
Strateginės pasekmės gynėjams
Nuolatinis piktnaudžiavimas pataisytomis „WinRAR“ pažeidžiamumais pabrėžia savalaikio pataisų valdymo, vartotojų informavimo mokymų ir stebėjimo, ar nėra tokių pataisų kaip neautorizuoti failai paleidimo kataloguose, svarbą. Valstybės remiamo ir nusikalstamo išnaudojimo suartėjimas dar labiau parodo, kaip greitai kritinės pažeidžiamos vietos tampa bendrais ištekliais visoje grėsmių aplinkoje.
