Рањивост WinRAR-а CVE-2025-6218
Америчка агенција за сајбер безбедност и безбедност инфраструктуре (CISA) званично је додала безбедносну грешку у програму за архивирање и компресију датотека WinRAR у свој каталог познатих искоришћених рањивости (KEV). Агенција је навела доказе да се рањивост активно искоришћава, што изазива забринутост и код организација и код појединачних корисника.
Рана, праћена као CVE-2025-6218 са CVSS оценом 7,8, је рањивост која омогућава нападачу да изврши код у контексту тренутног корисника. Успешна експлоатација захтева да мета или посети злонамерни веб сајт или отвори посебно креирану датотеку.
Преглед садржаја
Детаљи о статусу грешке и закрпе
RARLAB је решио ову рањивост у верзији WinRAR 7.12, објављеној у јуну 2025. године. Грешка утиче само на верзије засноване на Windows-у; верзије за Unix, Android и друге платформе остају непромењене.
Рањивост омогућава нападачима да постављају датотеке на осетљиве системске локације, као што је фасцикла „Покретање система Windows“, што потенцијално може покренути нежељено извршавање кода приликом следећег пријављивања на систем.
Активност актера претње
Вишеструки извештаји о сајбер безбедности указују да су CVE-2025-6218 искористила три различита актера претње:
- ГОФИ (Папирни вукодлак)
- Горко (APT-C-08 / Manlinghua)
- Гамаредон
- GOFFEE кампање
У јулу 2025. године, GOFFEE је наводно комбиновао CVE-2025-6218 са CVE-2025-8088, још једном рањивошћу велике озбиљности у вези са проласком путање у WinRAR (CVSS резултат 8,8), како би циљао организације путем фишинг имејлова. Ови напади указују на координисан и софистициран напор да се угроже корпоративна окружења.
Огорчена експлоатација APT-а
Bitter, APT група фокусирана на Јужну Азију, искористила је рањивост како би одржала постојаност на компромитованим системима и инсталирала C# тројанца користећи лагани програм за преузимање. Напад укључује RAR архиву под називом Provision of Information for Sectoral for AJK.rar, која садржи безбедни Word документ и злонамерни шаблон макроа.
Кључне механике напада укључују:
- Убацивањем датотеке Normal.dotm у глобалну путању шаблона програма Microsoft Word, осигурава се да се макро аутоматски извршава сваки пут када се Word отвори.
- Заобилажење стандардних макро заштита имејлова за документе примљене након компромитовања.
- Омогућавање тројанцу да контактира екстерни C2 сервер на johnfashionaccess.com, олакшавајући бележење тастера, снимање екрана, крађу RDP акредитива и крађу датотека.
Ове архиве се првенствено дистрибуирају путем кампања фишинга.
Експлоатација Гамаредона
Група Гамаредон, повезана са Русијом, такође је користила CVE-2025-6218 у фишинг кампањама усмереним на украјинске војне, владине, политичке и административне ентитете. Злонамерни софтвер, назван Птеранодон, први пут је примећен у новембру 2025. године.
Докази указују да ово није опортунистичка активност. Она представља структурирану, војно оријентисану шпијунажу и саботажу, вероватно координисану од стране руске државне обавештајне службе. Поред тога, Гамаредон је злоупотребио CVE-2025-8088 за испоруку Visual Basic Script злонамерног софтвера и постављање деструктивног брисача под називом GamaWiper, што означава први примећени прелазак групе са шпијунаже на деструктивне операције.
Закључци за безбедносне тимове
Организације и безбедносни тимови треба да дају приоритет следећим акцијама:
- Уверите се да су сви Windows системи који користе WinRAR ажурирани на верзију 7.12 или новију.
- Будите опрезни против фишинг кампања, посебно фишинг имејлова који садрже RAR архиве или Word документе.
- Пратите сумњиве активности које указују на сталне покушаје отварања система, бележења тастера са клавиатуре или комуникације са C2 командом.
- Имајте на уму да актери које спонзорише држава могу комбиновати вишеструке рањивости за циљане нападе.
Проактивно инсталирање закрпа, хигијена безбедности е-поште и праћење крајњих тачака су кључни за ублажавање ових напредних претњи и ограничавање оперативног утицаја искоришћених рањивости попут CVE-2025-6218.
