CVE-2025-8088 WinRAR जोखिम

सुरक्षा अनुसन्धानकर्ताहरूले धेरै खतरा अभिनेताहरूद्वारा RARLAB WinRAR मा अहिले-प्याच गरिएको महत्वपूर्ण जोखिमको व्यापक शोषण पत्ता लगाएका छन्। राष्ट्र-राज्य विरोधीहरू र आर्थिक रूपमा प्रेरित समूहहरू दुवैले लक्षित वातावरणमा प्रारम्भिक पहुँच प्राप्त गर्न र विस्तृत दायरामा दुर्भावनापूर्ण पेलोडहरू तैनाथ गर्न त्रुटिको फाइदा उठाएका छन्। जुलाई २०२५ मा प्याच गरिए तापनि, जोखिमलाई विविध सञ्चालनहरूमा दुरुपयोग गर्न जारी छ, जसले अनप्याच गरिएको सफ्टवेयरसँग सम्बन्धित निरन्तर जोखिमहरूलाई हाइलाइट गर्दछ।

CVE-2025-8088: प्राविधिक सिंहावलोकन र प्रभाव

CVE-2025-8088 को रूपमा ट्र्याक गरिएको CVSS स्कोर ८.८ छ, जुन जुलाई ३०, २०२५ मा जारी गरिएको WinRAR संस्करण ७.१३ मा सम्बोधन गरिएको थियो। शोषणले सफ्टवेयरको कमजोर संस्करणहरूमा खोलिएका विशेष रूपमा तयार पारिएका अभिलेख फाइलहरू मार्फत मनमानी कोड कार्यान्वयन सक्षम बनाउँछ। मूल कारण पथ ट्राभर्सल त्रुटि हो जसले आक्रमणकारीहरूलाई संवेदनशील स्थानहरूमा फाइलहरू छोड्न अनुमति दिन्छ, विशेष गरी विन्डोज स्टार्टअप फोल्डर, जसले प्रणाली पुन: सुरु र प्रयोगकर्ता लगइनमा गोप्य दृढता र स्वचालित कार्यान्वयन सक्षम बनाउँछ।

यो शोषण प्रविधिले आधारभूत अनुप्रयोग सुरक्षा स्वच्छता र अन्त-प्रयोगकर्ता जागरूकतामा फराकिलो रक्षात्मक खाडललाई प्रतिबिम्बित गर्दछ।

शून्य-दिन देखि एन-दिन सम्म: आक्रमणको विकास

जुलाई १८, २०२५ मा नै यो त्रुटिलाई शून्य-दिनको रूपमा प्रयोग गरिएको थियो, विशेष गरी दोहोरो-प्रेरणा खतरा समूह RomCom (जसलाई CIGAR वा UNC4895 पनि भनिन्छ) द्वारा। यी अपरेशनहरूले SnipBot (NESTPACKER) मालवेयरको एक प्रकार प्रदान गरे। अनुसन्धानकर्ताहरूले UNC2596 को रूपमा ट्र्याक गरिएको क्लस्टरसँग सम्बन्धित गतिविधिलाई पनि सम्बद्ध गर्छन्, जुन क्युबा र्‍यान्समवेयर तैनातीसँग जोडिएको छ।

सार्वजनिक खुलासा र प्याचिङ पछि, जोखिम द्रुत रूपमा व्यापक रूपमा शोषण गरिएको n-day मा रूपान्तरण भयो, आक्रमणकारीहरूले दुर्भावनापूर्ण फाइलहरू, प्रायः विन्डोज सर्टकट (LNK) पेलोडहरू वैकल्पिक डेटा स्ट्रिमहरू (ADS) मा लुकेका, डिकोय सामग्री भित्र इम्बेड गरे। एक पटक निकालेपछि, यी फाइलहरू पूर्वनिर्धारित प्रणाली मार्गहरूमा राखिन्छन् र रिबुट पछि स्वचालित रूपमा ट्रिगर हुन्छन्।

राष्ट्र-राज्य सञ्चालनले शोषणलाई विस्तार गर्छ

सरकारसँग सम्बन्धित धेरै खतरा समूहहरूले CVE-2025-8088 लाई सक्रिय अभियानहरूमा समावेश गरेका छन्। विशेष गरी रूसी-सम्बद्ध पक्षहरूले जासुसी र विघटनकारी उद्देश्यहरू दुवैलाई अगाडि बढाउन अनुकूलित प्रलोभनहरू र माध्यमिक पेलोडहरू प्रयोग गरेका छन्:

• स्यान्डवर्म (जसलाई APT44 वा FROZENBARENTS पनि भनिन्छ) ले थप कम्पोनेन्टहरू पुन: प्राप्त गर्न डिजाइन गरिएको दुर्भावनापूर्ण LNK पेलोडहरूसँगै युक्रेनी-थीमयुक्त डिकोय फाइलहरू समावेश गर्ने अभिलेखहरू तैनाथ गर्यो।
• Gamaredon (CARPATHIAN को रूपमा पनि चिनिन्छ) ले पहिलो चरणको रूपमा HTML अनुप्रयोग (HTA) डाउनलोडरहरू डेलिभर गर्ने RAR अभिलेखहरू प्रयोग गरेर युक्रेनी सरकारी संस्थाहरूलाई लक्षित गर्‍यो।

समानान्तर रूपमा, एक चीन-आधारित खतरा अभिनेताले पोइजन आइभी स्थापना गर्न उही जोखिमलाई हतियार बनाएको छ, जुन विन्डोज स्टार्टअप फोल्डरमा खसालिएको ब्याच स्क्रिप्ट मार्फत डेलिभर गरिएको छ र माध्यमिक ड्रपर पुन: प्राप्त गर्न कन्फिगर गरिएको छ।

आर्थिक रूपमा प्रेरित अभियानहरू र व्यावसायिक लक्ष्यीकरण

साइबर अपराध समूहहरूले व्यावसायिक पीडितहरू विरुद्ध कमोडिटी रिमोट एक्सेस ट्रोजन (RATs) र सूचना चोरहरू तैनाथ गर्ने जोखिमलाई छिट्टै अपनाए। अवलोकन गरिएका पेलोडहरूमा टेलिग्राम बट-नियन्त्रित ब्याकडोरहरू, साथै AsyncRAT र XWorm जस्ता मालवेयर परिवारहरू समावेश छन्।

एउटा उल्लेखनीय अभियानमा, ब्राजिलियन प्रयोगकर्ताहरूलाई लक्षित गर्न परिचित साइबर अपराध समूहले दुर्भावनापूर्ण क्रोम एक्सटेन्सन वितरण गर्‍यो। यो एक्सटेन्सनले फिसिङ सामग्री प्रस्तुत गर्न र प्रयोगकर्ता प्रमाणहरू सङ्कलन गर्न दुई ब्राजिलियन बैंकिङ वेबसाइटहरूको पृष्ठहरूमा जाभास्क्रिप्ट इन्जेक्ट गर्‍यो, जसले WinRAR शोषण मार्फत प्राप्त प्रारम्भिक पहुँचको लचिलोपन प्रदर्शन गर्‍यो।

भूमिगत बजार र शोषणको वस्तुकरण

CVE-2025-8088 को द्रुत र व्यापक अपनाइ एक फस्टाउँदो भूमिगत शोषण अर्थतन्त्रबाट उत्पन्न भएको अनुमान गरिएको छ। WinRAR शोषणहरू हजारौं डलरमा विज्ञापन गरिएको रिपोर्ट गरिएको थियो, जसले गर्दा विभिन्न प्रकारका अभिनेताहरूको लागि प्रवेशमा अवरोध कम भयो। 'zeroplayer' उपनाम अन्तर्गत सञ्चालन हुने एक आपूर्तिकर्ताले CVE-2025-8088 को सार्वजनिक खुलासा हुनुभन्दा अघिल्ला हप्ताहरूमा WinRAR शोषणको बजारीकरण गर्‍यो।

अपस्ट्रीम प्रदायकको रूपमा जिरोप्लेयरको निरन्तर भूमिकाले आक्रमण जीवनचक्रको वस्तुकरणलाई चित्रण गर्दछ, जहाँ टर्नकीले क्षमताहरूको शोषण गर्दछ जसले विकास लागत घटाउँछ र परिष्कृत सञ्चालनहरू सञ्चालन गर्न विविध प्रेरणा भएका समूहहरूलाई सक्षम बनाउँछ।

फराकिलो ढाँचा: आक्रमणमा थप WinRAR त्रुटिहरू

यो गतिविधि अर्को WinRAR जोखिम, CVE-2025-6218 (CVSS स्कोर: 7.8) विरुद्ध शोषण प्रयासहरूसँग मेल खान्छ। GOFFEE, Bitter, र Gamaredon लगायत धेरै खतरा अभिनेताहरूले यो छुट्टै त्रुटिको फाइदा उठाउँदै गरेको अवलोकन गरिएको छ, जसले n-day जोखिमहरूद्वारा उत्पन्न भइरहेको खतरा र विरोधीहरूले नयाँ खुलासा गरिएका कमजोरीहरूलाई सञ्चालन गर्ने गतिलाई सुदृढ बनाउँछ।

रक्षकहरूको लागि रणनीतिक प्रभावहरू

प्याच गरिएका WinRAR कमजोरीहरूको निरन्तर दुरुपयोगले समयमै प्याच व्यवस्थापन, प्रयोगकर्ता जागरूकता प्रशिक्षण, र स्टार्टअप निर्देशिकाहरूमा अनधिकृत फाइलहरू जस्ता दृढता संयन्त्रहरूको लागि निगरानीको महत्त्वलाई जोड दिन्छ। राज्य-प्रायोजित र आपराधिक शोषणको अभिसरणले थप देखाउँछ कि कति छिटो महत्वपूर्ण कमजोरीहरू खतरा परिदृश्यमा साझा स्रोतहरू बन्छन्।