WinRAR దుర్బలత్వం CVE-2025-6218

US సైబర్ సెక్యూరిటీ అండ్ ఇన్‌ఫ్రాస్ట్రక్చర్ సెక్యూరిటీ ఏజెన్సీ (CISA) దాని తెలిసిన దోపిడీకి గురైన దుర్బలత్వాలు (KEV) కేటలాగ్‌కు WinRAR ఫైల్ ఆర్కైవర్ మరియు కంప్రెషన్ యుటిలిటీలో భద్రతా లోపాన్ని అధికారికంగా జోడించింది. ఈ దుర్బలత్వం వైల్డ్‌నెస్‌లో చురుకుగా దోపిడీకి గురవుతోందని, ఇది సంస్థలు మరియు వ్యక్తిగత వినియోగదారులకు ఆందోళనలను పెంచుతుందని ఏజెన్సీ ఆధారాలను ఉదహరించింది.

7.8 CVSS స్కోరుతో CVE-2025-6218గా ట్రాక్ చేయబడిన ఈ లోపం, పాత్ ట్రావర్సల్ దుర్బలత్వం, ఇది దాడి చేసే వ్యక్తి ప్రస్తుత వినియోగదారు సందర్భంలో కోడ్‌ను అమలు చేయడానికి అనుమతిస్తుంది. విజయవంతమైన దోపిడీకి లక్ష్యం హానికరమైన వెబ్‌సైట్‌ను సందర్శించడం లేదా ప్రత్యేకంగా రూపొందించిన ఫైల్‌ను తెరవడం అవసరం.

లోపం మరియు ప్యాచ్ స్థితి వివరాలు

జూన్ 2025లో విడుదలైన WinRAR 7.12లో RARLAB ఈ దుర్బలత్వాన్ని పరిష్కరించింది. ఈ లోపం Windows-ఆధారిత బిల్డ్‌లను మాత్రమే ప్రభావితం చేస్తుంది; Unix, Android మరియు ఇతర ప్లాట్‌ఫారమ్‌ల వెర్షన్‌లు ప్రభావితం కావు.

ఈ దుర్బలత్వం దాడి చేసేవారికి విండోస్ స్టార్టప్ ఫోల్డర్ వంటి సున్నితమైన సిస్టమ్ స్థానాల్లో ఫైల్‌లను ఉంచడానికి వీలు కల్పిస్తుంది, తదుపరి సిస్టమ్ లాగిన్ సమయంలో అనుకోని కోడ్ అమలును ప్రేరేపించే అవకాశం ఉంది.

బెదిరింపు నటుడి కార్యాచరణ

బహుళ సైబర్ భద్రతా నివేదికలు CVE-2025-6218 ను ముగ్గురు విభిన్న ముప్పు శక్తులు దోపిడీ చేశాయని సూచిస్తున్నాయి:

• గోఫీ (పేపర్ వేర్‌వోల్ఫ్)
• చేదు (APT-C-08 / మన్లింగ్వా)
• గమారెడాన్
• గోఫీ ప్రచారాలు

జూలై 2025లో, GOFFEE సంస్థ ఫిషింగ్ ఇమెయిల్‌ల ద్వారా సంస్థలను లక్ష్యంగా చేసుకోవడానికి CVE-2025-6218ని CVE-2025-8088తో కలిపి మరొక అధిక-తీవ్రత WinRAR పాత్ ట్రావర్సల్ దుర్బలత్వం (CVSS స్కోరు 8.8) అని ఆరోపించబడింది. ఈ దాడులు కార్పొరేట్ వాతావరణాలను రాజీ చేయడానికి సమన్వయంతో మరియు అధునాతన ప్రయత్నాన్ని సూచిస్తున్నాయి.

బిట్టర్ APT దోపిడీ

దక్షిణాసియాపై దృష్టి సారించిన APT గ్రూప్ అయిన బిట్టర్, రాజీపడిన సిస్టమ్‌లపై నిలకడను కొనసాగించడానికి మరియు తేలికపాటి డౌన్‌లోడ్‌ని ఉపయోగించి C# ట్రోజన్‌ను అమలు చేయడానికి దుర్బలత్వాన్ని ఆయుధంగా ఉపయోగించుకుంది. ఈ దాడిలో AJK.rar కోసం ప్రొవిజన్ ఆఫ్ ఇన్ఫర్మేషన్ ఫర్ సెక్టోరల్ అనే RAR ఆర్కైవ్ ఉంది, ఇందులో నిరపాయకరమైన వర్డ్ డాక్యుమెంట్ మరియు హానికరమైన మాక్రో టెంప్లేట్ ఉన్నాయి.

దాడి యొక్క ముఖ్య మెకానిక్స్‌లో ఇవి ఉన్నాయి:

• మైక్రోసాఫ్ట్ వర్డ్ యొక్క గ్లోబల్ టెంప్లేట్ పాత్ లోకి Normal.dotm ని వదలడం ద్వారా, వర్డ్ తెరిచిన ప్రతిసారీ మాక్రో స్వయంచాలకంగా అమలు అవుతుందని నిర్ధారిస్తుంది.

ఈ ఆర్కైవ్‌లు ప్రధానంగా స్పియర్-ఫిషింగ్ ప్రచారాల ద్వారా పంపిణీ చేయబడతాయి.

గమారెడాన్ దోపిడీ

రష్యా-అనుబంధ గమారెడాన్ గ్రూప్ ఉక్రేనియన్ సైనిక, ప్రభుత్వ, రాజకీయ మరియు పరిపాలనా సంస్థలను లక్ష్యంగా చేసుకుని ఫిషింగ్ ప్రచారాలలో CVE-2025-6218 ను కూడా ఉపయోగించుకుంది. Pteranodon అని పిలువబడే ఈ మాల్వేర్ మొదటిసారిగా నవంబర్ 2025లో గమనించబడింది.

ఇది అవకాశవాద చర్య కాదని ఆధారాలు సూచిస్తున్నాయి. ఇది నిర్మాణాత్మక, సైనిక-ఆధారిత గూఢచర్యం మరియు విధ్వంసాన్ని సూచిస్తుంది, బహుశా రష్యన్ రాష్ట్ర నిఘా ద్వారా సమన్వయం చేయబడుతుంది. అదనంగా, గమారెడాన్ CVE-2025-8088ని దుర్వినియోగం చేసి విజువల్ బేసిక్ స్క్రిప్ట్ మాల్వేర్‌ను అందించింది మరియు గామావైపర్ అనే విధ్వంసక వైపర్‌ను అమలు చేసింది, ఇది గూఢచర్యం నుండి విధ్వంసక కార్యకలాపాలకు సమూహం యొక్క మొట్టమొదటి పరిశీలించిన పరివర్తనను సూచిస్తుంది.

భద్రతా బృందాలకు టేకావేలు

సంస్థలు మరియు భద్రతా బృందాలు ఈ క్రింది చర్యలకు ప్రాధాన్యత ఇవ్వాలి:

• WinRAR నడుస్తున్న అన్ని విండోస్ సిస్టమ్‌లు వెర్షన్ 7.12 లేదా తరువాత వాటికి నవీకరించబడ్డాయని నిర్ధారించుకోండి.
• ఫిషింగ్ ప్రచారాల పట్ల, ముఖ్యంగా RAR ఆర్కైవ్‌లు లేదా వర్డ్ డాక్యుమెంట్‌లను కలిగి ఉన్న స్పియర్-ఫిషింగ్ ఇమెయిల్‌ల పట్ల అప్రమత్తంగా ఉండండి.
• నిరంతర బ్యాక్‌డోర్లు, కీలాగింగ్ లేదా C2 కమ్యూనికేషన్ ప్రయత్నాలను సూచించే అనుమానాస్పద కార్యకలాపాల కోసం పర్యవేక్షించండి.
• లక్ష్య దాడులకు రాష్ట్ర-ప్రాయోజిత నటులు బహుళ దుర్బలత్వాలను మిళితం చేయవచ్చని గుర్తించండి.

ఈ అధునాతన ముప్పులను తగ్గించడానికి మరియు CVE-2025-6218 వంటి దోపిడీ దుర్బలత్వాల కార్యాచరణ ప్రభావాన్ని పరిమితం చేయడానికి ప్రోయాక్టివ్ ప్యాచింగ్, ఇమెయిల్ భద్రతా పరిశుభ్రత మరియు ఎండ్‌పాయింట్ పర్యవేక్షణ చాలా కీలకం.