ช่องโหว่ CVE-2025-8088 ใน WinRAR

นักวิจัยด้านความปลอดภัยได้ค้นพบการใช้ประโยชน์อย่างกว้างขวางจากช่องโหว่ที่สำคัญซึ่งได้รับการแก้ไขแล้วในโปรแกรม RARLAB WinRAR โดยผู้โจมตีหลายกลุ่ม ทั้งกลุ่มที่เป็นรัฐบาลและกลุ่มที่มุ่งหวังผลกำไรทางการเงินได้ใช้ช่องโหว่นี้เพื่อเข้าถึงสภาพแวดล้อมเป้าหมายและติดตั้งมัลแวร์หลากหลายประเภท แม้ว่าจะได้รับการแก้ไขแล้วในเดือนกรกฎาคม 2025 แต่ช่องโหว่นี้ยังคงถูกนำไปใช้ในทางที่ผิดในปฏิบัติการต่างๆ ซึ่งเน้นย้ำถึงความเสี่ยงที่ยังคงมีอยู่ซึ่งเกี่ยวข้องกับซอฟต์แวร์ที่ไม่ได้แก้ไขช่องโหว่

CVE-2025-8088: ภาพรวมทางเทคนิคและผลกระทบ

ช่องโหว่ดังกล่าว ซึ่งมีหมายเลขติดตาม CVE-2025-8088 และคะแนน CVSS 8.8 ได้รับการแก้ไขแล้วใน WinRAR เวอร์ชัน 7.13 ที่วางจำหน่ายเมื่อวันที่ 30 กรกฎาคม 2025 การโจมตีนี้ทำให้สามารถเรียกใช้โค้ดตามอำเภอใจได้ผ่านไฟล์เก็บถาวรที่สร้างขึ้นเป็นพิเศษซึ่งเปิดในซอฟต์แวร์เวอร์ชันที่มีช่องโหว่ สาเหตุหลักคือข้อบกพร่องในการเข้าถึงเส้นทางไฟล์ที่ทำให้ผู้โจมตีสามารถวางไฟล์ลงในตำแหน่งที่สำคัญ โดยเฉพาะอย่างยิ่งโฟลเดอร์เริ่มต้นของ Windows ทำให้สามารถซ่อนตัวและเรียกใช้โค้ดโดยอัตโนมัติเมื่อระบบรีสตาร์ทหรือผู้ใช้เข้าสู่ระบบ

เทคนิคการโจมตีนี้สะท้อนให้เห็นถึงช่องโหว่ด้านการป้องกันที่กว้างขึ้นในด้านความปลอดภัยขั้นพื้นฐานของแอปพลิเคชันและการตระหนักรู้ของผู้ใช้ปลายทาง

จากช่องโหว่ Zero-Day สู่ช่องโหว่ N-Day: วิวัฒนาการของการโจมตี

ช่องโหว่นี้ถูกใช้ประโยชน์ในฐานะช่องโหว่ Zero-day ตั้งแต่เมื่อวันที่ 18 กรกฎาคม 2025 โดยเฉพาะอย่างยิ่งโดยกลุ่มภัยคุกคามที่มีแรงจูงใจสองทาง RomCom (หรือที่รู้จักกันในชื่อ CIGAR หรือ UNC4895) ปฏิบัติการเหล่านี้ได้ส่งมัลแวร์ SnipBot (NESTPACKER) เวอร์ชันหนึ่งมา นักวิจัยยังเชื่อมโยงกิจกรรมที่เกี่ยวข้องกับคลัสเตอร์ที่ติดตามในชื่อ UNC2596 ซึ่งเชื่อมโยงกับการแพร่กระจายแรนซัมแวร์ Cuba Ransomware ด้วย

หลังจากมีการเปิดเผยและแก้ไขช่องโหว่ดังกล่าว ช่องโหว่นี้ก็กลายเป็นช่องโหว่ n-day ที่ถูกโจมตีอย่างกว้างขวาง โดยผู้โจมตีจะฝังไฟล์ที่เป็นอันตราย ซึ่งมักจะเป็นไฟล์ทางลัดของ Windows (LNK) ที่ซ่อนอยู่ในสตรีมข้อมูลทางเลือก (ADS) ภายในเนื้อหาล่อลวง เมื่อดึงไฟล์เหล่านี้ออกมาแล้ว จะถูกวางไว้ในเส้นทางระบบที่กำหนดไว้ล่วงหน้าและจะทำงานโดยอัตโนมัติหลังจากรีบูตเครื่อง

ปฏิบัติการของรัฐชาติขยายขอบเขตการแสวงหาประโยชน์

กลุ่มผู้คุกคามหลายกลุ่มที่เชื่อมโยงกับรัฐบาลได้นำช่องโหว่ CVE-2025-8088 มาใช้ในแคมเปญโจมตี โดยเฉพาะอย่างยิ่งกลุ่มที่สนับสนุนรัสเซียได้ใช้กลลวงและมัลแวร์แฝงที่ปรับแต่งมาเป็นพิเศษเพื่อบรรลุเป้าหมายทั้งด้านการจารกรรมและการก่อกวน:

• มัลแวร์ Sandworm (หรือที่รู้จักกันในชื่อ APT44 หรือ FROZENBARENTS) ได้เผยแพร่ไฟล์เก็บข้อมูลที่มีเนื้อหาล่อลวงเกี่ยวกับยูเครนควบคู่ไปกับไฟล์ LNK ที่เป็นอันตราย ซึ่งออกแบบมาเพื่อดึงส่วนประกอบเพิ่มเติม
• แกมาเรดอน (หรือที่รู้จักกันในชื่อ คาร์พาเธียน) โจมตีหน่วยงานรัฐบาลยูเครนโดยใช้ไฟล์ RAR ที่ส่งโปรแกรมดาวน์โหลดแอปพลิเคชัน HTML (HTA) เป็นขั้นตอนแรก

ในขณะเดียวกัน ผู้โจมตีจากจีนได้ใช้ช่องโหว่เดียวกันนี้เป็นอาวุธในการติดตั้งมัลแวร์ Poison Ivy โดยใช้สคริปต์แบบแบตช์ที่ถูกวางไว้ในโฟลเดอร์เริ่มต้นของ Windows และตั้งค่าให้เรียกใช้ตัวปล่อยมัลแวร์ตัวที่สองด้วย

แคมเปญที่ขับเคลื่อนด้วยแรงจูงใจทางการเงินและการกำหนดเป้าหมายเชิงพาณิชย์

กลุ่มอาชญากรไซเบอร์ได้ใช้ประโยชน์จากช่องโหว่นี้อย่างรวดเร็ว เพื่อแพร่กระจายมัลแวร์ประเภทโทรจันสำหรับเข้าถึงระยะไกล (RAT) และมัลแวร์ขโมยข้อมูลไปยังเหยื่อที่เป็นธุรกิจต่างๆ มัลแวร์ที่พบเห็นได้แก่ แบ็กดอร์ที่ควบคุมโดยบอท Telegram รวมถึงตระกูลมัลแวร์ เช่น AsyncRAT และ XWorm

ในการโจมตีครั้งหนึ่งที่โดดเด่น กลุ่มอาชญากรไซเบอร์ที่มุ่งเป้าไปที่ผู้ใช้ชาวบราซิลได้เผยแพร่ส่วนขยาย Chrome ที่เป็นอันตราย ส่วนขยายนี้จะแทรก JavaScript เข้าไปในหน้าเว็บของเว็บไซต์ธนาคารสองแห่งในบราซิล เพื่อแสดงเนื้อหาฟิชชิ่งและเก็บรวบรวมข้อมูลประจำตัวของผู้ใช้ ซึ่งแสดงให้เห็นถึงความยืดหยุ่นของการเข้าถึงเบื้องต้นที่ได้รับผ่านช่องโหว่ WinRAR

ตลาดใต้ดินและการเปลี่ยนการเอารัดเอาเปรียบให้กลายเป็นสินค้า

การแพร่กระจายอย่างรวดเร็วและกว้างขวางของ CVE-2025-8088 คาดว่าเกิดจากเศรษฐกิจใต้ดินที่เฟื่องฟูของการเจาะระบบ มีรายงานว่ามีการโฆษณาช่องโหว่ WinRAR ในราคาหลายพันดอลลาร์ ทำให้ผู้ไม่ประสงค์ดีหลายกลุ่มสามารถเข้าถึงได้ง่ายขึ้น ผู้จำหน่ายที่ใช้นามแฝงว่า 'zeroplayer' ได้ทำการตลาดช่องโหว่ WinRAR ในช่วงหลายสัปดาห์ก่อนที่จะมีการเปิดเผย CVE-2025-8088 ต่อสาธารณะ

บทบาทอย่างต่อเนื่องของ Zeroplayer ในฐานะผู้ให้บริการต้นน้ำ แสดงให้เห็นถึงการกลายเป็นสินค้าโภคภัณฑ์ของวงจรการโจมตี ซึ่งความสามารถในการโจมตีแบบสำเร็จรูปช่วยลดต้นทุนการพัฒนาและช่วยให้กลุ่มที่มีแรงจูงใจหลากหลายสามารถดำเนินการโจมตีที่ซับซ้อนได้

รูปแบบที่กว้างขึ้น: ช่องโหว่เพิ่มเติมของ WinRAR กำลังถูกโจมตี

กิจกรรมนี้เกิดขึ้นพร้อมกับความพยายามในการโจมตีช่องโหว่ WinRAR อีกช่องโหว่หนึ่ง คือ CVE-2025-6218 (คะแนน CVSS: 7.8) มีการสังเกตพบว่ากลุ่มแฮกเกอร์หลายกลุ่ม รวมถึง GOFFEE, Bitter และ Gamaredon ใช้ประโยชน์จากช่องโหว่นี้ ซึ่งเป็นการตอกย้ำภัยคุกคามที่เกิดจากช่องโหว่แบบ n-day และความเร็วที่ผู้โจมตีสามารถนำช่องโหว่ที่เพิ่งเปิดเผยไปใช้ประโยชน์ได้

นัยสำคัญเชิงกลยุทธ์สำหรับผู้พิทักษ์

การใช้ช่องโหว่ของ WinRAR ที่ได้รับการแก้ไขแล้วในทางที่ผิดอย่างต่อเนื่อง เน้นย้ำถึงความสำคัญของการจัดการแพตช์อย่างทันท่วงที การฝึกอบรมให้ความรู้แก่ผู้ใช้ และการตรวจสอบกลไกการคงอยู่ เช่น ไฟล์ที่ไม่ได้รับอนุญาตในไดเร็กทอรีเริ่มต้น การบรรจบกันของการใช้ประโยชน์โดยรัฐและอาชญากรแสดงให้เห็นเพิ่มเติมว่าช่องโหว่ที่สำคัญกลายเป็นทรัพยากรที่ใช้ร่วมกันในภูมิทัศน์ภัยคุกคามได้อย่างรวดเร็วเพียงใด