CVE-2025-8088 WinRAR దుర్బలత్వం

RARLAB WinRARలో బహుళ బెదిరింపు నటులు ఇప్పుడు ప్యాచ్ చేయబడిన క్లిష్టమైన దుర్బలత్వాన్ని విస్తృతంగా ఉపయోగించుకుంటున్నారని భద్రతా పరిశోధకులు కనుగొన్నారు. దేశ-రాష్ట్ర విరోధులు మరియు ఆర్థికంగా ప్రేరేపించబడిన సమూహాలు రెండూ లక్ష్య వాతావరణాలకు ప్రారంభ ప్రాప్యతను పొందడానికి మరియు విస్తృత శ్రేణి హానికరమైన పేలోడ్‌లను అమలు చేయడానికి లోపాన్ని ఉపయోగించుకున్నాయి. జూలై 2025లో ప్యాచ్ చేయబడినప్పటికీ, విభిన్న కార్యకలాపాలలో దుర్బలత్వం దుర్వినియోగం చేయబడుతూనే ఉంది, అన్‌ప్యాచ్ చేయని సాఫ్ట్‌వేర్‌తో సంబంధం ఉన్న నిరంతర ప్రమాదాలను హైలైట్ చేస్తుంది.

CVE-2025-8088: సాంకేతిక అవలోకనం మరియు ప్రభావం

CVE-2025-8088గా గుర్తించబడిన ఈ దుర్బలత్వాన్ని, CVSS స్కోరు 8.8తో జూలై 30, 2025న విడుదలైన WinRAR వెర్షన్ 7.13లో పరిష్కరించారు. దోపిడీ అనేది సాఫ్ట్‌వేర్ యొక్క దుర్బల వెర్షన్‌లలో తెరవబడిన ప్రత్యేకంగా రూపొందించిన ఆర్కైవ్ ఫైల్‌ల ద్వారా ఏకపక్ష కోడ్ అమలును అనుమతిస్తుంది. దీనికి మూల కారణం పాత్ ట్రావర్సల్ లోపం, ఇది దాడి చేసేవారు ఫైల్‌లను సున్నితమైన ప్రదేశాలలోకి, ముఖ్యంగా విండోస్ స్టార్టప్ ఫోల్డర్‌లోకి వదలడానికి అనుమతిస్తుంది, ఇది సిస్టమ్ పునఃప్రారంభం మరియు వినియోగదారు లాగిన్ తర్వాత రహస్య స్థిరత్వం మరియు ఆటోమేటిక్ అమలును అనుమతిస్తుంది.

ఈ దోపిడీ సాంకేతికత ప్రాథమిక అప్లికేషన్ భద్రతా పరిశుభ్రత మరియు తుది-వినియోగదారు అవగాహనలో విస్తృత రక్షణ అంతరాన్ని ప్రతిబింబిస్తుంది.

జీరో-డే నుండి N-డే వరకు: దాడుల పరిణామం

ఈ లోపాన్ని జూలై 18, 2025 నాటికే జీరో-డేగా ఉపయోగించుకున్నారు, ముఖ్యంగా డ్యూయల్-మోటివేషన్ థ్రెట్ గ్రూప్ RomCom (CIGAR లేదా UNC4895 అని కూడా పిలుస్తారు). ఈ ఆపరేషన్లు SnipBot (NESTPACKER) మాల్వేర్ యొక్క వేరియంట్‌ను అందించాయి. పరిశోధకులు సంబంధిత కార్యాచరణను UNC2596గా ట్రాక్ చేయబడిన క్లస్టర్‌తో అనుబంధించారు, ఇది క్యూబా రాన్సమ్‌వేర్ విస్తరణలతో ముడిపడి ఉంది.

బహిరంగంగా బహిర్గతం చేయడం మరియు ప్యాచింగ్ చేయడం తరువాత, ఈ దుర్బలత్వం వేగంగా విస్తృతంగా దోపిడీకి గురైన n-dayగా మారింది, దాడి చేసేవారు హానికరమైన ఫైల్‌లను, తరచుగా Windows షార్ట్‌కట్ (LNK) పేలోడ్‌లను ప్రత్యామ్నాయ డేటా స్ట్రీమ్‌లలో (ADS) దాచిపెట్టి, డెకాయ్ కంటెంట్ లోపల పొందుపరుస్తారు. సంగ్రహించిన తర్వాత, ఈ ఫైల్‌లు ముందుగా నిర్ణయించిన సిస్టమ్ పాత్‌లలో ఉంచబడతాయి మరియు రీబూట్ చేసిన తర్వాత స్వయంచాలకంగా ట్రిగ్గర్ చేయబడతాయి.

దేశ-రాష్ట్ర కార్యకలాపాలు దోపిడీని విస్తరిస్తాయి

ప్రభుత్వ-సంబంధిత బెదిరింపు గ్రూపులు CVE-2025-8088 ను క్రియాశీల ప్రచారాలలో చేర్చాయి. ముఖ్యంగా రష్యన్-సమన్వయ నటులు, గూఢచర్యం మరియు అంతరాయం కలిగించే లక్ష్యాలను ముందుకు తీసుకెళ్లడానికి అనుకూలీకరించిన ఎరలు మరియు ద్వితీయ పేలోడ్‌లను ఉపయోగించారు:

• సాండ్‌వార్మ్ (APT44 లేదా FROZENBARENTS అని కూడా పిలుస్తారు) అదనపు భాగాలను తిరిగి పొందడానికి రూపొందించిన హానికరమైన LNK పేలోడ్‌లతో పాటు ఉక్రేనియన్-నేపథ్య డెకాయ్ ఫైల్‌లను కలిగి ఉన్న ఆర్కైవ్‌లను మోహరించింది.
• గమారెడాన్ (కార్పాతియన్ అని కూడా పిలుస్తారు) మొదటి దశగా HTML అప్లికేషన్ (HTA) డౌన్‌లోడ్‌లను అందించే RAR ఆర్కైవ్‌లను ఉపయోగించి ఉక్రేనియన్ ప్రభుత్వ సంస్థలను లక్ష్యంగా చేసుకుంది.

అదే సమయంలో, చైనాకు చెందిన బెదిరింపు నటుడు పాయిజన్ ఐవీని ఇన్‌స్టాల్ చేయడానికి అదే దుర్బలత్వాన్ని ఆయుధంగా ఉపయోగించుకున్నాడు, ఇది విండోస్ స్టార్టప్ ఫోల్డర్‌లోకి డ్రాప్ చేయబడిన బ్యాచ్ స్క్రిప్ట్ ద్వారా డెలివరీ చేయబడి, సెకండరీ డ్రాపర్‌ను తిరిగి పొందడానికి కాన్ఫిగర్ చేయబడింది.

ఆర్థికంగా ప్రేరేపించబడిన ప్రచారాలు మరియు వాణిజ్య లక్ష్యం

సైబర్ నేరస్థుల గ్రూపులు వాణిజ్య బాధితులపై కమోడిటీ రిమోట్ యాక్సెస్ ట్రోజన్లు (RATలు) మరియు సమాచార దొంగలను మోహరించడానికి దుర్బలత్వాన్ని త్వరగా స్వీకరించాయి. టెలిగ్రామ్ బాట్-నియంత్రిత బ్యాక్‌డోర్లు, అలాగే AsyncRAT మరియు XWorm వంటి మాల్వేర్ కుటుంబాలు కూడా గమనించబడ్డాయి.

ఒక ముఖ్యమైన ప్రచారంలో, బ్రెజిలియన్ వినియోగదారులను లక్ష్యంగా చేసుకునేందుకు పేరుగాంచిన సైబర్ క్రైమ్ గ్రూప్ ఒక హానికరమైన Chrome పొడిగింపును పంపిణీ చేసింది. ఈ పొడిగింపు రెండు బ్రెజిలియన్ బ్యాంకింగ్ వెబ్‌సైట్‌ల పేజీలలోకి జావాస్క్రిప్ట్‌ను ఇంజెక్ట్ చేసి ఫిషింగ్ కంటెంట్‌ను ప్రదర్శించడానికి మరియు వినియోగదారు ఆధారాలను సేకరించడానికి, WinRAR దోపిడీ ద్వారా పొందిన ప్రారంభ యాక్సెస్ యొక్క వశ్యతను ప్రదర్శిస్తుంది.

భూగర్భ మార్కెట్లు మరియు దోపిడీదారుల సరుకుీకరణ

CVE-2025-8088 యొక్క వేగవంతమైన మరియు విస్తృత స్వీకరణ అభివృద్ధి చెందుతున్న భూగర్భ దోపిడీ ఆర్థిక వ్యవస్థ నుండి ఉద్భవించిందని అంచనా వేయబడింది. WinRAR దోపిడీలను వేల డాలర్లకు ప్రచారం చేసినట్లు నివేదించబడింది, ఇది విస్తృత శ్రేణి నటులకు ప్రవేశానికి అడ్డంకిని తగ్గించింది. 'జీరోప్లేయర్' అనే మారుపేరుతో పనిచేస్తున్న సరఫరాదారు CVE-2025-8088 యొక్క బహిరంగ బహిర్గతం ముందు వారాలలో WinRAR దోపిడీని మార్కెట్ చేశాడు.

అప్‌స్ట్రీమ్ ప్రొవైడర్‌గా జీరోప్లేయర్ యొక్క నిరంతర పాత్ర దాడి జీవితచక్రం యొక్క కమోడిటైజేషన్‌ను వివరిస్తుంది, ఇక్కడ టర్న్‌కీ ఎక్స్‌ప్లోయిట్ సామర్థ్యాలు అభివృద్ధి ఖర్చులను తగ్గిస్తాయి మరియు విభిన్న ప్రేరణలు కలిగిన సమూహాలు అధునాతన కార్యకలాపాలను నిర్వహించడానికి వీలు కల్పిస్తాయి.

విస్తృత నమూనా: దాడికి గురైన అదనపు WinRAR లోపాలు

ఈ కార్యాచరణ మరొక WinRAR దుర్బలత్వం, CVE-2025-6218 (CVSS స్కోరు: 7.8) కు వ్యతిరేకంగా దోపిడీ ప్రయత్నాలతో సమానంగా ఉంటుంది. GOFFEE, Bitter మరియు Gamaredon తో సహా బహుళ ముప్పు నటులు ఈ ప్రత్యేక లోపాన్ని ఉపయోగించుకుంటున్నట్లు గమనించబడింది, n-day దుర్బలత్వాల ద్వారా ఎదురయ్యే కొనసాగుతున్న ముప్పును మరియు ప్రత్యర్థులు కొత్తగా వెల్లడైన బలహీనతలను అమలు చేసే వేగాన్ని బలోపేతం చేస్తున్నారు.

డిఫెండర్లకు వ్యూహాత్మక చిక్కులు

ప్యాచ్ చేయబడిన WinRAR దుర్బలత్వాల నిరంతర దుర్వినియోగం సకాలంలో ప్యాచ్ నిర్వహణ, వినియోగదారు అవగాహన శిక్షణ మరియు స్టార్టప్ డైరెక్టరీలలో అనధికార ఫైల్‌ల వంటి నిలకడ విధానాల కోసం పర్యవేక్షణ యొక్క ప్రాముఖ్యతను నొక్కి చెబుతుంది. రాష్ట్ర-ప్రాయోజిత మరియు నేరపూరిత దోపిడీ యొక్క కలయిక ముప్పు ల్యాండ్‌స్కేప్ అంతటా కీలకమైన దుర్బలత్వాలు ఎంత త్వరగా భాగస్వామ్య వనరులుగా మారుతాయో మరింత ప్రదర్శిస్తుంది.