Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Keterdedahan Kerentanan WinRAR CVE-2025-6218

Kerentanan WinRAR CVE-2025-6218

Menjelang Mezo pada Keterdedahan, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Agensi Keselamatan Siber dan Infrastruktur AS (CISA) secara rasmi telah menambah kecacatan keselamatan dalam utiliti pengarkib dan pemampatan fail WinRAR kepada katalog Kerentanan Dieksploitasi yang Diketahui (KEV). Agensi itu memetik bukti bahawa kerentanan itu sedang dieksploitasi secara aktif, menimbulkan kebimbangan terhadap organisasi dan pengguna individu.

Kecacatan itu, yang dikesan sebagai CVE-2025-6218 dengan skor CVSS 7.8, merupakan kelemahan laluan yang membolehkan penyerang melaksanakan kod dalam konteks pengguna semasa. Eksploitasi yang berjaya memerlukan sasaran sama ada melawat laman web berniat jahat atau membuka fail yang direka khas.

Butiran Status Kecacatan dan Tampalan

RARLAB telah menangani kelemahan ini dalam WinRAR 7.12, yang dikeluarkan pada Jun 2025. Kecacatan ini hanya menjejaskan binaan berasaskan Windows; versi untuk Unix, Android dan platform lain kekal tidak terjejas.

Kerentanan ini membolehkan penyerang meletakkan fail di lokasi sistem sensitif, seperti folder Windows Startup, yang berpotensi mencetuskan pelaksanaan kod yang tidak disengajakan semasa log masuk sistem seterusnya.

Aktiviti Pelakon Ancaman

Pelbagai laporan keselamatan siber menunjukkan bahawa CVE-2025-6218 telah dieksploitasi oleh tiga pelaku ancaman yang berbeza:

  • GOFFEE (Serigala Jadian Kertas)
  • Pahit (APT-C-08 / Manlinghua)
  • Gamaredon
  • Kempen GOFFEE

Pada Julai 2025, GOFFEE didakwa menggabungkan CVE-2025-6218 dengan CVE-2025-8088, satu lagi kerentanan penelusuran laluan WinRAR berkeparahan tinggi (skor CVSS 8.8), untuk menyasarkan organisasi melalui e-mel pancingan data. Serangan ini mencadangkan usaha yang terselaras dan canggih untuk menjejaskan persekitaran korporat.

Eksploitasi APT yang Pahit

Bitter, sebuah kumpulan APT yang berfokus pada Asia Selatan, telah menggunakan kelemahan tersebut untuk mengekalkan kegigihan pada sistem yang terjejas dan menggunakan trojan C# menggunakan pemuat turun ringan. Serangan itu melibatkan arkib RAR bernama Provision of Information for Sectoral for AJK.rar, yang mengandungi dokumen Word yang tidak berbahaya dan templat makro yang berniat jahat.

Mekanik utama serangan termasuk:

  • Menggugurkan Normal.dotm ke dalam laluan templat global Microsoft Word, memastikan makro dilaksanakan secara automatik setiap kali Word dibuka.
  • Melangkaui perlindungan makro e-mel standard untuk dokumen yang diterima selepas kompromi.
  • Membolehkan trojan menghubungi pelayan C2 luaran di johnfashionaccess.com, memudahkan pengelogan kunci, tangkapan skrin, kecurian kelayakan RDP dan penapisan fail.

Arkib ini diedarkan terutamanya melalui kempen spear-phishing.

Eksploitasi Gamaredon

Kumpulan Gamaredon yang bergabung dengan Rusia juga telah memanfaatkan CVE-2025-6218 dalam kempen pancingan data yang menyasarkan entiti tentera, kerajaan, politik dan pentadbiran Ukraine. Perisian hasad yang digelar Pteranodon, pertama kali diperhatikan pada November 2025.

Bukti menunjukkan ini bukanlah aktiviti oportunistik. Ia mewakili pengintipan dan sabotaj berstruktur berorientasikan ketenteraan, yang mungkin diselaraskan oleh perisikan negara Rusia. Selain itu, Gamaredon telah menyalahgunakan CVE-2025-8088 untuk menghantar perisian hasad Visual Basic Script dan menggunakan pengelap pemusnah bernama GamaWiper, menandakan peralihan pertama kumpulan itu yang diperhatikan daripada operasi pengintipan kepada operasi pemusnah.

Kesimpulan untuk Pasukan Keselamatan

Organisasi dan pasukan keselamatan harus mengutamakan tindakan berikut:

  • Pastikan semua sistem Windows yang menjalankan WinRAR dikemas kini kepada versi 7.12 atau lebih baharu.
  • Kekal berwaspada terhadap kempen pancingan data, terutamanya e-mel pancingan data yang mengandungi arkib RAR atau dokumen Word.
  • Pantau aktiviti mencurigakan yang menunjukkan pintu belakang, keylogging atau percubaan komunikasi C2 yang berterusan.
  • Kenali bahawa pelaku yang ditaja oleh kerajaan mungkin menggabungkan pelbagai kelemahan untuk serangan yang disasarkan.

Penampalan proaktif, kebersihan keselamatan e-mel dan pemantauan titik akhir adalah penting untuk mengurangkan ancaman lanjutan ini dan mengehadkan impak operasi kerentanan yang dieksploitasi seperti CVE-2025-6218.

Trending

Paling banyak dilihat

Memuatkan...