Rabattoffert för flera licenser
Hotdatabas Sårbarhet CVE-2025-8088 WinRAR-sårbarhet

CVE-2025-8088 WinRAR-sårbarhet

Med Mezo år Sårbarhet
Översätt till:

Säkerhetsforskare har upptäckt omfattande utnyttjande av en nu uppdaterad kritisk sårbarhet i RARLAB WinRAR av flera hotaktörer. Både motståndare i olika stater och ekonomiskt motiverade grupper har utnyttjat bristen för att få initial åtkomst till målmiljöer och distribuera en mängd olika skadliga nyttolaster. Trots att sårbarheten uppdaterades i juli 2025 fortsätter den att missbrukas i olika verksamheter, vilket belyser de ihållande risker som är förknippade med ouppdaterad programvara.

CVE-2025-8088: Teknisk översikt och påverkan

Sårbarheten, spårad som CVE-2025-8088 med en CVSS-poäng på 8,8, åtgärdades i WinRAR version 7.13, släppt den 30 juli 2025. Utnyttjandet möjliggör exekvering av godtycklig kod genom specialskapade arkivfiler som öppnas i sårbara versioner av programvaran. Grundorsaken är en sökvägsfel som gör det möjligt för angripare att släppa filer till känsliga platser, framför allt Windows startmapp, vilket möjliggör smygande persistens och automatisk exekvering vid systemomstart och användarinloggning.

Denna utnyttjandeteknik återspeglar en bredare defensiv lucka i grundläggande applikationssäkerhetshygien och slutanvändarnas medvetenhet.

Från nolldag till N-dag: Attackernas utveckling

Brottet utnyttjades som en nolldagsattack så tidigt som den 18 juli 2025, främst av den dubbeldrivna hotgruppen RomCom (även känd som CIGAR eller UNC4895). Dessa operationer levererade en variant av skadlig programvara SnipBot (NESTPACKER). Forskare kopplar också relaterad aktivitet till klustret som spåras som UNC2596, vilket har kopplats till Cuba Ransomware-distributioner.

Efter offentliggörande och patchning övergick sårbarheten snabbt till en allmänt utnyttjad n-dag, där angripare bäddade in skadliga filer, ofta Windows-genvägar (LNK) gömda i alternativa dataströmmar (ADS), inuti lockbeteendeinnehåll. När dessa filer har extraherats placeras de i förutbestämda systemsökvägar och aktiveras automatiskt efter en omstart.

Nationalstatliga operationer utökar exploateringen

Flera regeringskopplade hotgrupper har införlivat CVE-2025-8088 i aktiva kampanjer. Rysslandsallierade aktörer har i synnerhet använt skräddarsydda lockbeten och sekundära nyttolaster för att främja både spionage och störande mål:

  • Sandworm (även känt som APT44 eller FROZENBARENTS) distribuerade arkiv som innehöll lockbetefiler med ukrainskt tema tillsammans med skadliga LNK-nyttolaster utformade för att hämta ytterligare komponenter.
  • Gamaredon (även känt som CARPATHIAN) riktade in sig på ukrainska myndigheter med hjälp av RAR-arkiv som levererade nedladdningsprogram för HTML-applikationer (HTA) som ett första steg.
  • Turla (även känt som SUMMIT) missbrukade bristen för att distribuera ramverket STOCKSTAY för skadlig programvara med hjälp av social ingenjörskonst kopplat till ukrainsk militär och drönarrelaterade aktiviteter.

Parallellt har en Kina-baserad hotaktör beväpnat samma sårbarhet för att installera Poison Ivy, levererat via ett batchskript som placerats i Windows startmapp och konfigurerats för att hämta en sekundär dropper.

Finansiellt motiverade kampanjer och kommersiell inriktning

Cyberkriminella grupper utnyttjade snabbt sårbarheten för att distribuera vanliga fjärråtkomsttrojaner (RAT) och informationstjuvar mot kommersiella offer. Observerade nyttolaster inkluderar bakdörrar som kontrolleras av Telegram-botar, samt familjer av skadliga program som AsyncRAT och XWorm.

I en anmärkningsvärd kampanj distribuerade en cyberbrottsgrupp känd för att rikta in sig på brasilianska användare ett skadligt Chrome-tillägg. Detta tillägg injicerade JavaScript i sidorna på två brasilianska bankwebbplatser för att presentera nätfiskeinnehåll och samla in användaruppgifter, vilket demonstrerar flexibiliteten hos den initiala åtkomst som erhölls genom WinRAR-angreppet.

Underjordiska marknader och kommodifieringen av exploater

Det snabba och breda införandet av CVE-2025-8088 bedöms härröra från en blomstrande underjordisk exploitekonomi. WinRAR-exploits annonserades enligt uppgift för tusentals dollar, vilket sänkte inträdesbarriären för en mängd olika aktörer. En leverantör som verkade under aliaset "zeroplayer" marknadsförde en WinRAR-exploit veckorna före offentliggörandet av CVE-2025-8088.

Zeroplayers fortsatta roll som en uppströmsleverantör illustrerar kommodifieringen av attacklivscykeln, där nyckelfärdiga exploateringsmöjligheter minskar utvecklingskostnaderna och gör det möjligt för grupper med varierande motiv att utföra sofistikerade operationer.

Ett bredare mönster: Ytterligare WinRAR-brister under attack

Denna aktivitet sammanfaller med försök att utnyttja en annan WinRAR-sårbarhet, CVE-2025-6218 (CVSS-poäng: 7,8). Flera hotaktörer, inklusive GOFFEE, Bitter och Gamaredon, har observerats utnyttja denna separata brist, vilket förstärker det pågående hotet som n-dagarssårbarheter utgör och den hastighet med vilken motståndare operationaliserar nyligen avslöjade svagheter.

Strategiska konsekvenser för försvarare

Det ihållande missbruket av patchade WinRAR-sårbarheter understryker vikten av snabb patchhantering, utbildning i användarmedvetenhet och övervakning av persistensmekanismer som obehöriga filer i startkataloger. Konvergensen av statligt sponsrad och kriminell exploatering visar ytterligare hur snabbt kritiska sårbarheter blir delade resurser över hela hotbilden.

Trendigt

Mest sedda

Läser in...