CVE-2025-8088 WinRAR ਕਮਜ਼ੋਰੀ

ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ RARLAB WinRAR ਵਿੱਚ ਕਈ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਇੱਕ ਹੁਣ-ਪੈਚ ਕੀਤੀ ਗਈ ਨਾਜ਼ੁਕ ਕਮਜ਼ੋਰੀ ਦੇ ਵਿਆਪਕ ਸ਼ੋਸ਼ਣ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ। ਰਾਸ਼ਟਰ-ਰਾਜ ਵਿਰੋਧੀਆਂ ਅਤੇ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਸਮੂਹਾਂ ਦੋਵਾਂ ਨੇ ਨਿਸ਼ਾਨਾ ਵਾਤਾਵਰਣਾਂ ਤੱਕ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਖਤਰਨਾਕ ਪੇਲੋਡਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਇਸ ਨੁਕਸ ਦਾ ਲਾਭ ਉਠਾਇਆ ਹੈ। ਜੁਲਾਈ 2025 ਵਿੱਚ ਪੈਚ ਕੀਤੇ ਜਾਣ ਦੇ ਬਾਵਜੂਦ, ਕਮਜ਼ੋਰੀ ਦਾ ਵਿਭਿੰਨ ਕਾਰਜਾਂ ਵਿੱਚ ਦੁਰਵਰਤੋਂ ਜਾਰੀ ਹੈ, ਜੋ ਕਿ ਅਣਪੈਚ ਕੀਤੇ ਸੌਫਟਵੇਅਰ ਨਾਲ ਜੁੜੇ ਨਿਰੰਤਰ ਜੋਖਮਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ।

CVE-2025-8088: ਤਕਨੀਕੀ ਸੰਖੇਪ ਜਾਣਕਾਰੀ ਅਤੇ ਪ੍ਰਭਾਵ

CVE-2025-8088 ਦੇ ਤੌਰ 'ਤੇ ਟਰੈਕ ਕੀਤੀ ਗਈ ਕਮਜ਼ੋਰੀ, ਜਿਸਦਾ CVSS ਸਕੋਰ 8.8 ਹੈ, ਨੂੰ 30 ਜੁਲਾਈ, 2025 ਨੂੰ ਜਾਰੀ ਕੀਤੇ ਗਏ WinRAR ਸੰਸਕਰਣ 7.13 ਵਿੱਚ ਸੰਬੋਧਿਤ ਕੀਤਾ ਗਿਆ ਸੀ। ਸ਼ੋਸ਼ਣ ਸਾਫਟਵੇਅਰ ਦੇ ਕਮਜ਼ੋਰ ਸੰਸਕਰਣਾਂ ਵਿੱਚ ਖੋਲ੍ਹੀਆਂ ਗਈਆਂ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੀਆਂ ਆਰਕਾਈਵ ਫਾਈਲਾਂ ਰਾਹੀਂ ਮਨਮਾਨੇ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਮੂਲ ਕਾਰਨ ਇੱਕ ਪਾਥ ਟ੍ਰਾਵਰਸਲ ਫਲਾਅ ਹੈ ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਸਥਾਨਾਂ ਵਿੱਚ ਫਾਈਲਾਂ ਛੱਡਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਵਿੰਡੋਜ਼ ਸਟਾਰਟਅੱਪ ਫੋਲਡਰ, ਸਿਸਟਮ ਰੀਸਟਾਰਟ ਅਤੇ ਉਪਭੋਗਤਾ ਲੌਗਇਨ 'ਤੇ ਚੋਰੀ-ਛਿਪੇ ਸਥਿਰਤਾ ਅਤੇ ਆਟੋਮੈਟਿਕ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।

ਇਹ ਸ਼ੋਸ਼ਣ ਤਕਨੀਕ ਬੁਨਿਆਦੀ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਸਫਾਈ ਅਤੇ ਅੰਤਮ-ਉਪਭੋਗਤਾ ਜਾਗਰੂਕਤਾ ਵਿੱਚ ਇੱਕ ਵਿਸ਼ਾਲ ਰੱਖਿਆਤਮਕ ਪਾੜੇ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।

ਜ਼ੀਰੋ-ਡੇ ਤੋਂ ਐਨ-ਡੇ ਤੱਕ: ਹਮਲਿਆਂ ਦਾ ਵਿਕਾਸ

ਇਸ ਨੁਕਸ ਦਾ ਸ਼ੋਸ਼ਣ 18 ਜੁਲਾਈ, 2025 ਨੂੰ ਜ਼ੀਰੋ-ਡੇ ਦੇ ਤੌਰ 'ਤੇ ਕੀਤਾ ਗਿਆ ਸੀ, ਖਾਸ ਤੌਰ 'ਤੇ ਦੋਹਰੀ-ਪ੍ਰੇਰਣਾ ਧਮਕੀ ਸਮੂਹ ਰੋਮਕਾਮ (ਜਿਸਨੂੰ CIGAR ਜਾਂ UNC4895 ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਦੁਆਰਾ। ਇਹਨਾਂ ਓਪਰੇਸ਼ਨਾਂ ਨੇ ਸਨਿੱਪਬੋਟ (NESTPACKER) ਮਾਲਵੇਅਰ ਦਾ ਇੱਕ ਰੂਪ ਪ੍ਰਦਾਨ ਕੀਤਾ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸੰਬੰਧਿਤ ਗਤੀਵਿਧੀ ਨੂੰ UNC2596 ਵਜੋਂ ਟਰੈਕ ਕੀਤੇ ਗਏ ਕਲੱਸਟਰ ਨਾਲ ਵੀ ਜੋੜਿਆ ਹੈ, ਜਿਸਨੂੰ ਕਿਊਬਾ ਰੈਨਸਮਵੇਅਰ ਤੈਨਾਤੀਆਂ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ।

ਜਨਤਕ ਖੁਲਾਸੇ ਅਤੇ ਪੈਚਿੰਗ ਤੋਂ ਬਾਅਦ, ਕਮਜ਼ੋਰੀ ਤੇਜ਼ੀ ਨਾਲ ਇੱਕ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਸ਼ੋਸ਼ਣ ਕੀਤੇ ਗਏ n-day ਵਿੱਚ ਤਬਦੀਲ ਹੋ ਗਈ, ਹਮਲਾਵਰਾਂ ਨੇ ਖਤਰਨਾਕ ਫਾਈਲਾਂ, ਅਕਸਰ ਵਿੰਡੋਜ਼ ਸ਼ਾਰਟਕੱਟ (LNK) ਪੇਲੋਡ ਜੋ ਵਿਕਲਪਕ ਡੇਟਾ ਸਟ੍ਰੀਮਾਂ (ADS) ਵਿੱਚ ਲੁਕੇ ਹੋਏ ਹੁੰਦੇ ਹਨ, ਨੂੰ ਡੀਕੋਏ ਸਮੱਗਰੀ ਦੇ ਅੰਦਰ ਏਮਬੈਡ ਕੀਤਾ। ਇੱਕ ਵਾਰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਇਹਨਾਂ ਫਾਈਲਾਂ ਨੂੰ ਪਹਿਲਾਂ ਤੋਂ ਨਿਰਧਾਰਤ ਸਿਸਟਮ ਮਾਰਗਾਂ ਵਿੱਚ ਰੱਖਿਆ ਜਾਂਦਾ ਹੈ ਅਤੇ ਰੀਬੂਟ ਤੋਂ ਬਾਅਦ ਆਪਣੇ ਆਪ ਚਾਲੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਰਾਸ਼ਟਰ-ਰਾਜ ਕਾਰਜ ਸ਼ੋਸ਼ਣ ਨੂੰ ਵਧਾਉਂਦੇ ਹਨ

ਕਈ ਸਰਕਾਰ ਨਾਲ ਜੁੜੇ ਧਮਕੀ ਸਮੂਹਾਂ ਨੇ CVE-2025-8088 ਨੂੰ ਸਰਗਰਮ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਹੈ। ਰੂਸ ਨਾਲ ਜੁੜੇ ਅਦਾਕਾਰਾਂ ਨੇ, ਖਾਸ ਤੌਰ 'ਤੇ, ਜਾਸੂਸੀ ਅਤੇ ਵਿਘਨਕਾਰੀ ਉਦੇਸ਼ਾਂ ਦੋਵਾਂ ਨੂੰ ਅੱਗੇ ਵਧਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਲਾਲਚਾਂ ਅਤੇ ਸੈਕੰਡਰੀ ਪੇਲੋਡਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ:

• ਸੈਂਡਵਰਮ (ਜਿਸਨੂੰ APT44 ਜਾਂ FROZENBARENTS ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਨੇ ਵਾਧੂ ਹਿੱਸਿਆਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਖਤਰਨਾਕ LNK ਪੇਲੋਡਾਂ ਦੇ ਨਾਲ ਯੂਕਰੇਨੀ-ਥੀਮ ਵਾਲੇ ਡੀਕੋਏ ਫਾਈਲਾਂ ਵਾਲੇ ਪੁਰਾਲੇਖਾਂ ਨੂੰ ਤੈਨਾਤ ਕੀਤਾ।
• ਗੇਮਰੇਡਨ (ਜਿਸਨੂੰ ਕਾਰਪੈਥੀਅਨ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਨੇ RAR ਪੁਰਾਲੇਖਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਯੂਕਰੇਨੀ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਜੋ ਪਹਿਲੇ ਪੜਾਅ ਵਜੋਂ HTML ਐਪਲੀਕੇਸ਼ਨ (HTA) ਡਾਊਨਲੋਡਰਾਂ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਦੇ ਸਨ।

ਇਸ ਦੇ ਨਾਲ ਹੀ, ਇੱਕ ਚੀਨ-ਅਧਾਰਤ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਨੇ ਪੋਇਜ਼ਨ ਆਈਵੀ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਲਈ ਉਸੇ ਕਮਜ਼ੋਰੀ ਨੂੰ ਹਥਿਆਰ ਬਣਾਇਆ ਹੈ, ਜੋ ਕਿ ਵਿੰਡੋਜ਼ ਸਟਾਰਟਅੱਪ ਫੋਲਡਰ ਵਿੱਚ ਸੁੱਟੀ ਗਈ ਇੱਕ ਬੈਚ ਸਕ੍ਰਿਪਟ ਰਾਹੀਂ ਡਿਲੀਵਰ ਕੀਤੀ ਗਈ ਹੈ ਅਤੇ ਇੱਕ ਸੈਕੰਡਰੀ ਡਰਾਪਰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤੀ ਗਈ ਹੈ।

ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਮੁਹਿੰਮਾਂ ਅਤੇ ਵਪਾਰਕ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ

ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹਾਂ ਨੇ ਵਪਾਰਕ ਪੀੜਤਾਂ ਵਿਰੁੱਧ ਕਮੋਡਿਟੀ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RATs) ਅਤੇ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਵਾਲਿਆਂ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਦੀ ਕਮਜ਼ੋਰੀ ਨੂੰ ਜਲਦੀ ਅਪਣਾ ਲਿਆ। ਦੇਖੇ ਗਏ ਪੇਲੋਡਾਂ ਵਿੱਚ ਟੈਲੀਗ੍ਰਾਮ ਬੋਟ-ਨਿਯੰਤਰਿਤ ਬੈਕਡੋਰ, ਅਤੇ ਨਾਲ ਹੀ AsyncRAT ਅਤੇ XWorm ਵਰਗੇ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਸ਼ਾਮਲ ਹਨ।

ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਮੁਹਿੰਮ ਵਿੱਚ, ਬ੍ਰਾਜ਼ੀਲੀਅਨ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸਮੂਹ ਨੇ ਇੱਕ ਖਤਰਨਾਕ Chrome ਐਕਸਟੈਂਸ਼ਨ ਵੰਡਿਆ। ਇਸ ਐਕਸਟੈਂਸ਼ਨ ਨੇ ਫਿਸ਼ਿੰਗ ਸਮੱਗਰੀ ਪੇਸ਼ ਕਰਨ ਅਤੇ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਕਟਾਈ ਕਰਨ ਲਈ ਦੋ ਬ੍ਰਾਜ਼ੀਲੀਆਈ ਬੈਂਕਿੰਗ ਵੈੱਬਸਾਈਟਾਂ ਦੇ ਪੰਨਿਆਂ ਵਿੱਚ JavaScript ਇੰਜੈਕਟ ਕੀਤਾ, ਜੋ WinRAR ਸ਼ੋਸ਼ਣ ਦੁਆਰਾ ਪ੍ਰਾਪਤ ਕੀਤੀ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦੀ ਲਚਕਤਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ।

ਭੂਮੀਗਤ ਬਾਜ਼ਾਰ ਅਤੇ ਸ਼ੋਸ਼ਣ ਦਾ ਵਸਤੂਕਰਨ

CVE-2025-8088 ਦੇ ਤੇਜ਼ੀ ਨਾਲ ਅਤੇ ਵਿਆਪਕ ਰੂਪ ਵਿੱਚ ਅਪਣਾਏ ਜਾਣ ਦਾ ਮੁਲਾਂਕਣ ਇੱਕ ਖੁਸ਼ਹਾਲ ਭੂਮੀਗਤ ਸ਼ੋਸ਼ਣ ਅਰਥਵਿਵਸਥਾ ਤੋਂ ਹੋਇਆ ਹੈ। WinRAR ਸ਼ੋਸ਼ਣਾਂ ਦਾ ਇਸ਼ਤਿਹਾਰ ਹਜ਼ਾਰਾਂ ਡਾਲਰਾਂ ਵਿੱਚ ਦਿੱਤਾ ਗਿਆ ਸੀ, ਜਿਸ ਨਾਲ ਵੱਖ-ਵੱਖ ਅਦਾਕਾਰਾਂ ਲਈ ਦਾਖਲੇ ਦੀ ਰੁਕਾਵਟ ਘੱਟ ਗਈ ਸੀ। ਉਪਨਾਮ 'ਜ਼ੀਰੋਪਲੇਅਰ' ਦੇ ਅਧੀਨ ਕੰਮ ਕਰਨ ਵਾਲੇ ਇੱਕ ਸਪਲਾਇਰ ਨੇ CVE-2025-8088 ਦੇ ਜਨਤਕ ਖੁਲਾਸੇ ਤੋਂ ਪਹਿਲਾਂ ਦੇ ਹਫ਼ਤਿਆਂ ਵਿੱਚ ਇੱਕ WinRAR ਸ਼ੋਸ਼ਣ ਦੀ ਮਾਰਕੀਟਿੰਗ ਕੀਤੀ ਸੀ।

ਜ਼ੀਰੋਪਲੇਅਰ ਦੀ ਇੱਕ ਅਪਸਟ੍ਰੀਮ ਪ੍ਰਦਾਤਾ ਵਜੋਂ ਨਿਰੰਤਰ ਭੂਮਿਕਾ ਹਮਲੇ ਦੇ ਜੀਵਨ ਚੱਕਰ ਦੇ ਵਸਤੂਕਰਨ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ, ਜਿੱਥੇ ਟਰਨਕੀ ਸਮਰੱਥਾਵਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਵਿਕਾਸ ਲਾਗਤਾਂ ਨੂੰ ਘਟਾਉਂਦਾ ਹੈ ਅਤੇ ਵੱਖ-ਵੱਖ ਪ੍ਰੇਰਣਾਵਾਂ ਵਾਲੇ ਸਮੂਹਾਂ ਨੂੰ ਸੂਝਵਾਨ ਕਾਰਜਾਂ ਨੂੰ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।

ਇੱਕ ਵਿਸ਼ਾਲ ਪੈਟਰਨ: ਹਮਲੇ ਅਧੀਨ ਵਾਧੂ WinRAR ਖਾਮੀਆਂ

ਇਹ ਗਤੀਵਿਧੀ ਇੱਕ ਹੋਰ WinRAR ਕਮਜ਼ੋਰੀ, CVE-2025-6218 (CVSS ਸਕੋਰ: 7.8) ਦੇ ਵਿਰੁੱਧ ਸ਼ੋਸ਼ਣ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਦੇ ਨਾਲ ਮੇਲ ਖਾਂਦੀ ਹੈ। GOFFEE, Bitter, ਅਤੇ Gamaredon ਸਮੇਤ ਕਈ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਇਸ ਵੱਖਰੀ ਨੁਕਸ ਦਾ ਲਾਭ ਉਠਾਉਂਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ, ਜੋ ਕਿ n-day ਕਮਜ਼ੋਰੀਆਂ ਦੁਆਰਾ ਪੈਦਾ ਹੋਣ ਵਾਲੇ ਚੱਲ ਰਹੇ ਖਤਰੇ ਅਤੇ ਵਿਰੋਧੀਆਂ ਦੁਆਰਾ ਨਵੀਆਂ ਪ੍ਰਗਟ ਕੀਤੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਸੰਚਾਲਿਤ ਕਰਨ ਦੀ ਗਤੀ ਨੂੰ ਹੋਰ ਮਜ਼ਬੂਤ ਕਰਦਾ ਹੈ।

ਡਿਫੈਂਡਰਾਂ ਲਈ ਰਣਨੀਤਕ ਪ੍ਰਭਾਵ

ਪੈਚ ਕੀਤੀਆਂ WinRAR ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਨਿਰੰਤਰ ਦੁਰਵਰਤੋਂ ਸਮੇਂ ਸਿਰ ਪੈਚ ਪ੍ਰਬੰਧਨ, ਉਪਭੋਗਤਾ ਜਾਗਰੂਕਤਾ ਸਿਖਲਾਈ, ਅਤੇ ਸਟਾਰਟਅੱਪ ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਅਣਅਧਿਕਾਰਤ ਫਾਈਲਾਂ ਵਰਗੇ ਸਥਿਰਤਾ ਵਿਧੀਆਂ ਦੀ ਨਿਗਰਾਨੀ ਦੀ ਮਹੱਤਤਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਅਤੇ ਅਪਰਾਧਿਕ ਸ਼ੋਸ਼ਣ ਦਾ ਸੰਗਮ ਹੋਰ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਕਿੰਨੀ ਜਲਦੀ ਨਾਜ਼ੁਕ ਕਮਜ਼ੋਰੀਆਂ ਖ਼ਤਰੇ ਦੇ ਦ੍ਰਿਸ਼ ਵਿੱਚ ਸਾਂਝੇ ਸਰੋਤ ਬਣ ਜਾਂਦੀਆਂ ਹਨ।