Уязвимость WinRAR CVE-2025-6218
Агентство по кибербезопасности и защите инфраструктуры США (CISA) официально добавило уязвимость в архиваторе и программе сжатия файлов WinRAR в свой каталог известных эксплуатируемых уязвимостей (KEV). Агентство сослалось на доказательства того, что эта уязвимость активно используется злоумышленниками, что вызывает опасения как у организаций, так и у отдельных пользователей.
Уязвимость, зарегистрированная как CVE-2025-6218 с оценкой CVSS 7.8, представляет собой уязвимость обхода пути, позволяющую злоумышленнику выполнять код в контексте текущего пользователя. Для успешной эксплуатации необходимо, чтобы жертва либо посетила вредоносный веб-сайт, либо открыла специально созданный файл.
Оглавление
Подробная информация о дефекте и статусе исправления.
Компания RARLAB устранила эту уязвимость в WinRAR 7.12, выпущенном в июне 2025 года. Уязвимость затрагивает только сборки для Windows; версии для Unix, Android и других платформ остаются незатронутыми.
Уязвимость позволяет злоумышленникам размещать файлы в важных системных папках, таких как папка автозагрузки Windows, что потенциально может привести к непреднамеренному выполнению кода при следующем входе в систему.
Активность субъектов угроз
Многочисленные отчеты по кибербезопасности указывают на то, что уязвимость CVE-2025-6218 была использована тремя различными субъектами угроз:
- Гоффи (Бумажный оборотень)
- Горький (APT-C-08 / Манлинхуа)
- Гамаредон
- Кампании GOFFEE
В июле 2025 года компания GOFFEE предположительно объединила уязвимость CVE-2025-6218 с CVE-2025-8088, еще одной серьезной уязвимостью обхода пути WinRAR (оценка CVSS 8.8), для атаки на организации посредством фишинговых писем. Эти атаки указывают на скоординированные и изощренные действия по компрометации корпоративных систем.
Жестокая эксплуатация APT-атак
Группа APT Bitter, ориентированная на Южную Азию, использовала эту уязвимость для обеспечения постоянного присутствия на скомпрометированных системах и развертывания трояна на C# с помощью легковесного загрузчика. Атака включает в себя RAR-архив под названием Provision of Information for Sectoral for AJK.rar, содержащий безобидный документ Word и вредоносный шаблон макроса.
Ключевые механизмы атаки включают в себя:
- Добавление файла Normal.dotm в глобальный путь к шаблонам Microsoft Word гарантирует автоматическое выполнение макроса при каждом открытии Word.
- Обход стандартных средств защиты от взлома, обеспечиваемых макросами электронной почты для документов, полученных после компрометации.
- Это позволяет трояну связываться с внешним сервером управления и контроля (C2) по адресу johnfashionaccess.com, что облегчает перехват нажатий клавиш, создание скриншотов, кражу учетных данных RDP и утечку файлов.
Эти архивы распространяются преимущественно посредством целевых фишинговых кампаний.
Эксплуатация Гамаредона
Связанная с Россией группа Gamaredon также использовала CVE-2025-6218 в фишинговых кампаниях, направленных на украинские военные, правительственные, политические и административные структуры. Вредоносная программа, получившая название Pteranodon, была впервые обнаружена в ноябре 2025 года.
Имеющиеся данные указывают на то, что это не случайная деятельность. Это структурированный, ориентированный на военные цели шпионаж и саботаж, вероятно, координируемый российской государственной разведкой. Кроме того, группировка Gamaredon использовала уязвимость CVE-2025-8088 для распространения вредоносного ПО на языке Visual Basic Script и развертывания разрушительного инструмента для удаления вредоносного ПО под названием GamaWiper, что знаменует собой первый зафиксированный переход группы от шпионажа к деструктивным операциям.
Основные выводы для групп безопасности
Организациям и группам безопасности следует уделить первоочередное внимание следующим действиям:
- Убедитесь, что все системы Windows, на которых установлен WinRAR, обновлены до версии 7.12 или более поздней.
- Сохраняйте бдительность в отношении фишинговых кампаний, особенно целевых фишинговых писем, содержащих RAR-архивы или документы Word.
- Отслеживайте подозрительную активность, указывающую на наличие постоянных бэкдоров, перехват нажатий клавиш или попыток связи с командным центром.
- Следует учитывать, что субъекты, спонсируемые государством, могут комбинировать несколько уязвимостей для целенаправленных атак.
Проактивное обновление программного обеспечения, обеспечение безопасности электронной почты и мониторинг конечных точек имеют решающее значение для смягчения последствий этих сложных угроз и ограничения операционных последствий использования уязвимостей, таких как CVE-2025-6218.
