Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Keterdedahan Kerentanan WinRAR CVE-2025-8088

Kerentanan WinRAR CVE-2025-8088

Menjelang Mezo pada Keterdedahan
Terjemahkan ke

Penyelidik keselamatan telah mendedahkan eksploitasi meluas terhadap kerentanan kritikal yang kini telah ditampal dalam RARLAB WinRAR oleh pelbagai pelaku ancaman. Kedua-dua musuh negara-negara dan kumpulan yang bermotivasi kewangan telah memanfaatkan kecacatan ini untuk mendapatkan akses awal kepada persekitaran sasaran dan menggunakan pelbagai muatan berniat jahat. Walaupun telah ditampal pada Julai 2025, kerentanan ini terus disalahgunakan merentasi pelbagai operasi, menonjolkan risiko berterusan yang berkaitan dengan perisian yang tidak ditampal.

CVE-2025-8088: Gambaran Keseluruhan Teknikal dan Impak

Kerentanan tersebut, yang dikesan sebagai CVE-2025-8088 dengan skor CVSS 8.8, telah ditangani dalam WinRAR versi 7.13, yang dikeluarkan pada 30 Julai 2025. Eksploitasi membolehkan pelaksanaan kod sewenang-wenangnya melalui fail arkib yang direka khas yang dibuka dalam versi perisian yang terdedah. Punca utamanya ialah kecacatan laluan yang membolehkan penyerang menjatuhkan fail ke lokasi sensitif, terutamanya folder Windows Startup, yang membolehkan kegigihan tersembunyi dan pelaksanaan automatik semasa sistem dimulakan semula dan log masuk pengguna.

Teknik eksploitasi ini mencerminkan jurang pertahanan yang lebih luas dalam kebersihan keselamatan aplikasi asas dan kesedaran pengguna akhir.

Dari Hari Sifar ke Hari-N: Evolusi Serangan

Kecacatan itu telah dieksploitasi sebagai hari sifar seawal 18 Julai 2025, terutamanya oleh kumpulan ancaman dwi-motivasi RomCom (juga dikenali sebagai CIGAR atau UNC4895). Operasi ini menghasilkan varian perisian hasad SnipBot (NESTPACKER). Penyelidik juga mengaitkan aktiviti berkaitan dengan kluster yang dikesan sebagai UNC2596, yang telah dikaitkan dengan penggunaan Ransomware Cuba.

Berikutan pendedahan awam dan penampalan, kerentanan itu dengan pantas beralih menjadi n-day yang dieksploitasi secara meluas, dengan penyerang membenamkan fail berniat jahat, selalunya muatan pintasan Windows (LNK) yang tersembunyi dalam strim data alternatif (ADS), di dalam kandungan umpan. Setelah diekstrak, fail-fail ini diletakkan ke dalam laluan sistem yang telah ditentukan dan dicetuskan secara automatik selepas but semula.

Operasi Negara-Bangsa Memperluas Eksploitasi

Pelbagai kumpulan ancaman berkaitan kerajaan telah memasukkan CVE-2025-8088 ke dalam kempen aktif. Pelakon yang bersekutu dengan Rusia, khususnya, telah menggunakan gewang yang disesuaikan dan muatan sekunder untuk memajukan kedua-dua objektif pengintipan dan gangguan:

  • Sandworm (juga dikenali sebagai APT44 atau FROZENBARENTS) telah menggunakan arkib yang mengandungi fail umpan bertemakan Ukraine bersama-sama muatan LNK berniat jahat yang direka untuk mendapatkan semula komponen tambahan.
  • Gamaredon (juga dikenali sebagai CARPATHIAN) menyasarkan entiti kerajaan Ukraine menggunakan arkib RAR yang menghantar pemuat turun Aplikasi HTML (HTA) sebagai peringkat pertama.
  • Turla (juga dikenali sebagai SUMMIT) telah menyalahgunakan kecacatan tersebut untuk mengedarkan rangka kerja perisian hasad STOCKSTAY, menggunakan tema kejuruteraan sosial yang dikaitkan dengan aktiviti berkaitan tentera dan dron Ukraine.

Secara selari, pelaku ancaman yang berpangkalan di China telah menggunakan kelemahan yang sama untuk memasang Poison Ivy, yang dihantar melalui skrip kelompok yang dimasukkan ke dalam folder Windows Startup dan dikonfigurasikan untuk mendapatkan penitis sekunder.

Kempen Bermotivasi Kewangan dan Penargetan Komersial

Kumpulan penjenayah siber dengan pantas menggunakan kerentanan ini untuk menggunakan trojan akses jauh komoditi (RAT) dan pencuri maklumat terhadap mangsa komersial. Muatan yang diperhatikan termasuk pintu belakang yang dikawal bot Telegram, serta keluarga perisian hasad seperti AsyncRAT dan XWorm.

Dalam satu kempen penting, sebuah kumpulan jenayah siber yang dikenali kerana menyasarkan pengguna Brazil mengedarkan sambungan Chrome yang berniat jahat. Sambungan ini menyuntik JavaScript ke dalam halaman dua laman web perbankan Brazil untuk memaparkan kandungan pancingan data dan mendapatkan kelayakan pengguna, menunjukkan fleksibiliti akses awal yang diperoleh melalui eksploitasi WinRAR.

Pasaran Bawah Tanah dan Pengkomoditian Eksploitasi

Penerimaan CVE-2025-8088 yang pesat dan meluas dinilai berpunca daripada ekonomi eksploitasi bawah tanah yang berkembang maju. Eksploitasi WinRAR dilaporkan diiklankan dengan harga ribuan dolar, mengurangkan halangan kemasukan untuk pelbagai pelaku. Sebuah pembekal yang beroperasi di bawah alias 'zeroplayer' memasarkan eksploitasi WinRAR pada minggu-minggu sebelum pendedahan awam CVE-2025-8088.

Peranan berterusan Zeroplayer sebagai penyedia huluan menggambarkan pengkomoditian kitaran hayat serangan, yang mana keupayaan eksploitasi siap guna mengurangkan kos pembangunan dan membolehkan kumpulan dengan pelbagai motivasi menjalankan operasi yang canggih.

Corak yang Lebih Luas: Kecacatan WinRAR Tambahan Diserang

Aktiviti ini bertepatan dengan percubaan eksploitasi terhadap satu lagi kelemahan WinRAR, CVE-2025-6218 (skor CVSS: 7.8). Pelbagai pelaku ancaman, termasuk GOFFEE, Bitter dan Gamaredon, telah diperhatikan memanfaatkan kelemahan berasingan ini, mengukuhkan ancaman berterusan yang ditimbulkan oleh kelemahan n-hari dan kelajuan musuh mengendalikan kelemahan yang baru didedahkan.

Implikasi Strategik untuk Pembela

Penyalahgunaan berterusan kerentanan WinRAR yang ditampal menggariskan kepentingan pengurusan tampalan yang tepat pada masanya, latihan kesedaran pengguna dan pemantauan untuk mekanisme persistensi seperti fail yang tidak dibenarkan dalam direktori permulaan. Konvergensi eksploitasi tajaan kerajaan dan jenayah terus menunjukkan betapa cepatnya kerentanan kritikal menjadi sumber yang dikongsi merentasi landskap ancaman.

Trending

Paling banyak dilihat

Memuatkan...