Рањивост CVE-2025-8088 у WinRAR-у
Истраживачи безбедности открили су опсежну експлоатацију сада закрпљене критичне рањивости у RARLAB WinRAR-у од стране више претњи. И државни противници и финансијски мотивисане групе искористили су грешку да би добили почетни приступ циљаним окружењима и распоредили широк спектар злонамерних програма. Упркос томе што је закрпљена у јулу 2025. године, рањивост се и даље злоупотребљава у различитим операцијама, што истиче сталне ризике повезане са незакрпљеним софтвером.
Преглед садржаја
CVE-2025-8088: Технички преглед и утицај
Рањивост, означена као CVE-2025-8088 са CVSS оценом 8,8, отклоњена је у верзији 7.13 програма WinRAR, објављеној 30. јула 2025. године. Експлоатација омогућава произвољно извршавање кода путем посебно креираних архивских датотека отворених у рањивим верзијама софтвера. Основни узрок је грешка у проласку путање која омогућава нападачима да убаце датотеке на осетљиве локације, пре свега у фолдер „Покретање система Windows“, омогућавајући прикривено постојање и аутоматско извршавање након поновног покретања система и пријаве корисника.
Ова техника експлоатације одражава шири одбрамбени јаз у основној безбедносној хигијени апликација и свести крајњих корисника.
Од нултог дана до Н-дана: Еволуција напада
Рана је искоришћена као нулти дан већ 18. јула 2025. године, посебно од стране групе претњи са двоструком мотивацијом RomCom (познате и као CIGAR или UNC4895). Ове операције су испоручиле варијанту злонамерног софтвера SnipBot (NESTPACKER). Истраживачи такође повезују повезану активност са кластером праћеним као UNC2596, који је повезан са распоређивањем Cuba Ransomware-а.
Након јавног откривања и постављања закрпки, рањивост је брзо прешла у широко искоришћену n-дневну платформу, где су нападачи уграђивали злонамерне датотеке, често корисне податке Windows пречица (LNK) скривене у алтернативним токовима података (ADS), унутар мамца. Једном екстраховане, ове датотеке се смештају у унапред одређене системске путање и аутоматски се покрећу након поновног покретања система.
Национално-државне операције проширују експлоатацију
Више претњи повезаних са владом укључило је CVE-2025-8088 у активне кампање. Актери повезани са Русијом, посебно, користили су прилагођене мамце и секундарне терете за унапређење шпијунаже и циљева деструктивног деловања:
- Пескасти црв (такође познат као APT44 или FROZENBARENTS) је распоредио архиве које садрже мамце са украјинском тематиком, заједно са злонамерним LNK корисним теретом дизајнираним за преузимање додатних компоненти.
- Гамаредон (такође познат као КАРПАТСКИ) је циљао украјинске владине институције користећи РАР архиве које су као прву фазу испоручивале програме за преузимање HTML апликација (HTA).
- Турла (позната и као SUMMIT) је злоупотребила грешку да би дистрибуирала злонамерни софтвер STOCKSTAY, користећи теме социјалног инжењеринга повезане са украјинском војском и активностима везаним за дронове.
Паралелно са тим, претња са седиштем у Кини је искористила исту рањивост као оружје за инсталирање Poison Ivy-ја, који се испоручује путем пакетне скрипте која се убацује у фолдер Windows Startup и конфигурише за преузимање секундарног дропера.
Финансијски мотивисане кампање и комерцијално циљање
Сајбер криминалне групе су брзо усвојиле рањивост како би користиле тројанце за даљински приступ (RAT) и крадљивце информација против комерцијалних жртава. Уочени корисни садржаји укључују задње вратиће контролисане ботовима у Телеграму, као и породице злонамерних програма као што су AsyncRAT и XWorm.
У једној значајној кампањи, група за сајбер криминал позната по циљању бразилских корисника дистрибуирала је злонамерно проширење за Chrome. Ово проширење убризгало је JavaScript на странице два бразилска банкарска веб-сајта како би приказивало фишинг садржај и прикупљало корисничке акредитиве, демонстрирајући флексибилност почетног приступа добијеног путем WinRAR експлоатације.
Подземна тржишта и комерцијализација експлоатације
Процењује се да брзо и широко усвајање CVE-2025-8088 произилази из процвата подземне економије експлоатације. Експлоатације WinRAR-а су наводно оглашаване за хиљаде долара, смањујући баријеру за улазак за широк спектар актера. Добављач који послује под псеудонимом „zeroplayer“ је пласирао експлоатацију WinRAR-а у недељама које су претходиле јавном објављивању CVE-2025-8088.
Зероплејерова континуирана улога као узводног добављача илуструје комерцијализацију животног циклуса напада, где могућности експлоатације по принципу „кључ у руке“ смањују трошкове развоја и омогућавају групама са различитим мотивацијама да спроводе софистициране операције.
Шири образац: Додатне мане ВинРАР-а под нападом
Ова активност се поклапа са покушајима експлоатације друге рањивости у WinRAR-у, CVE-2025-6218 (CVSS резултат: 7,8). Примећено је да више претњи, укључујући GOFFEE, Bitter и Gamaredon, користе ову засебну грешку, појачавајући сталну претњу коју представљају n-дневне рањивости и брзину којом противници операционализују новооткривене слабости.
Стратешке импликације за браниоце
Континуирана злоупотреба закрпљених рањивости WinRAR-а наглашава важност благовременог управљања закрпама, обуке корисника о подизању свести и праћења механизама перзистентности, као што су неовлашћене датотеке у директоријумима за покретање. Конвергенција државно спонзорисане и криминалне експлоатације додатно показује колико брзо критичне рањивости постају дељени ресурси у целом пејзажу претњи.
