ช่องโหว่ WinRAR CVE-2025-6218

สำนักงานความมั่นคงทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัยในโปรแกรมบีบอัดไฟล์ WinRAR ลงในรายการช่องโหว่ที่ถูกใช้ประโยชน์แล้ว (KEV) อย่างเป็นทางการ โดยระบุว่ามีหลักฐานว่าช่องโหว่นี้กำลังถูกใช้ประโยชน์อย่างแพร่หลาย ซึ่งสร้างความกังวลให้กับองค์กรและผู้ใช้งานทั่วไป

ช่องโหว่นี้ ซึ่งมีหมายเลขติดตามคือ CVE-2025-6218 และมีคะแนน CVSS 7.8 เป็นช่องโหว่การเข้าถึงไฟล์โดยไม่ได้รับอนุญาต ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้โค้ดในบริบทของผู้ใช้ปัจจุบันได้ การโจมตีที่สำเร็จนั้นจำเป็นต้องให้เป้าหมายเข้าชมเว็บไซต์ที่เป็นอันตรายหรือเปิดไฟล์ที่สร้างขึ้นเป็นพิเศษ

รายละเอียดของข้อบกพร่องและสถานะการแก้ไข

RARLAB ได้แก้ไขช่องโหว่นี้ใน WinRAR 7.12 ซึ่งวางจำหน่ายในเดือนมิถุนายน 2025 ช่องโหว่นี้ส่งผลกระทบเฉพาะเวอร์ชันสำหรับ Windows เท่านั้น เวอร์ชันสำหรับ Unix, Android และแพลตฟอร์มอื่นๆ ยังคงใช้งานได้ตามปกติ

ช่องโหว่นี้ทำให้ผู้โจมตีสามารถวางไฟล์ไว้ในตำแหน่งระบบที่สำคัญ เช่น โฟลเดอร์เริ่มต้นของ Windows ซึ่งอาจกระตุ้นให้เกิดการเรียกใช้โค้ดที่ไม่พึงประสงค์เมื่อเข้าสู่ระบบครั้งถัดไป

กิจกรรมของผู้ก่อภัยคุกคาม

รายงานด้านความปลอดภัยทางไซเบอร์หลายฉบับระบุว่า ช่องโหว่ CVE-2025-6218 ถูกโจมตีโดยผู้โจมตีที่แตกต่างกันสามกลุ่ม:

• กอฟฟี่ (มนุษย์หมาป่ากระดาษ)
• รสขม (APT-C-08 / Manlinghua)
• กามาเรดอน
• แคมเปญ GOFFEE

ในเดือนกรกฎาคม 2025 มีการกล่าวหาว่า GOFFEE ได้รวมช่องโหว่ CVE-2025-6218 เข้ากับ CVE-2025-8088 ซึ่งเป็นช่องโหว่การเข้าถึงไฟล์โดยตรง (path traversal) ที่มีความรุนแรงสูงอีกตัวหนึ่งของ WinRAR (คะแนน CVSS 8.8) เพื่อโจมตีองค์กรต่างๆ ผ่านทางอีเมลฟิชชิง การโจมตีเหล่านี้บ่งชี้ถึงความพยายามที่ประสานงานและซับซ้อนในการเจาะระบบขององค์กร

การแสวงหาประโยชน์จาก APT ที่ขมขื่น

กลุ่มแฮ็กเกอร์ APT ชื่อ Bitter ซึ่งเน้นปฏิบัติการในเอเชียใต้ ได้ใช้ช่องโหว่นี้เพื่อคงอยู่ในระบบที่ถูกโจมตี และติดตั้งโทรจันที่เขียนด้วยภาษา C# โดยใช้โปรแกรมดาวน์โหลดขนาดเล็ก การโจมตีนี้เกี่ยวข้องกับไฟล์ RAR ชื่อ Provision of Information for Sectoral for AJK.rar ซึ่งภายในบรรจุเอกสาร Word ที่ไม่เป็นอันตรายและเทมเพลตมาโครที่เป็นอันตราย

กลไกหลักของการโจมตีประกอบด้วย:

• ลากไฟล์ Normal.dotm ไปวางไว้ในเส้นทางเทมเพลตส่วนกลางของ Microsoft Word เพื่อให้แน่ใจว่ามาโครจะทำงานโดยอัตโนมัติทุกครั้งที่เปิด Word
• การข้ามผ่านระบบป้องกันมาโครอีเมลมาตรฐานสำหรับเอกสารที่ได้รับหลังการถูกโจมตี

• การเปิดใช้งานโทรจันให้สามารถติดต่อเซิร์ฟเวอร์ควบคุมภายนอก (C2) ที่ johnfashionaccess.com เพื่ออำนวยความสะดวกในการบันทึกการกดแป้นพิมพ์ การจับภาพหน้าจอ การขโมยข้อมูลประจำตัว RDP และการขโมยไฟล์

ไฟล์เหล่านี้ส่วนใหญ่ถูกเผยแพร่ผ่านการโจมตีแบบสเปียร์ฟิชชิ่ง (spear-phishing)

การแสวงหาประโยชน์จากกามาเรดอน

กลุ่ม Gamaredon ซึ่งมีความเกี่ยวข้องกับรัสเซีย ได้ใช้ช่องโหว่ CVE-2025-6218 ในการโจมตีแบบฟิชชิงโดยมุ่งเป้าไปที่หน่วยงานทางทหาร รัฐบาล การเมือง และการบริหารของยูเครน มัลแวร์ดังกล่าวซึ่งมีชื่อว่า Pteranodon ถูกพบครั้งแรกในเดือนพฤศจิกายน ปี 2025

หลักฐานบ่งชี้ว่านี่ไม่ใช่กิจกรรมฉวยโอกาส แต่เป็นการจารกรรมและก่อวินาศกรรมที่มีโครงสร้างและมุ่งเน้นทางทหาร ซึ่งน่าจะได้รับการประสานงานโดยหน่วยข่าวกรองของรัฐบาลรัสเซีย นอกจากนี้ Gamaredon ยังใช้ช่องโหว่ CVE-2025-8088 ในการส่งมัลแวร์ Visual Basic Script และติดตั้งโปรแกรมทำลายล้างชื่อ GamaWiper ซึ่งถือเป็นการเปลี่ยนแปลงครั้งแรกของกลุ่มนี้จากการจารกรรมไปสู่ปฏิบัติการทำลายล้าง

ข้อควรจำสำหรับทีมรักษาความปลอดภัย

องค์กรและทีมรักษาความปลอดภัยควรให้ความสำคัญกับการดำเนินการต่อไปนี้:

• โปรดตรวจสอบให้แน่ใจว่าระบบ Windows ทั้งหมดที่ใช้งาน WinRAR ได้รับการอัปเดตเป็นเวอร์ชัน 7.12 หรือใหม่กว่า
• โปรดระมัดระวังการโจมตีแบบฟิชชิ่ง โดยเฉพาะอีเมลสเปียร์ฟิชชิ่งที่มีไฟล์ RAR หรือเอกสาร Word อยู่ภายใน
• เฝ้าระวังกิจกรรมที่น่าสงสัยซึ่งบ่งชี้ถึงช่องโหว่ด้านความปลอดภัยที่ฝังแน่น การดักจับการกดแป้นพิมพ์ หรือความพยายามในการสื่อสารจากศูนย์ควบคุมและสั่งการ (C2)
• โปรดตระหนักว่ากลุ่มผู้ก่อการร้ายที่ได้รับการสนับสนุนจากรัฐอาจใช้ช่องโหว่หลายอย่างร่วมกันเพื่อโจมตีเป้าหมายอย่างเจาะจง

การติดตั้งแพทช์เชิงรุก การรักษาความปลอดภัยอีเมล และการตรวจสอบอุปกรณ์ปลายทางมีความสำคัญอย่างยิ่งต่อการลดภัยคุกคามขั้นสูงเหล่านี้ และจำกัดผลกระทบต่อการดำเนินงานจากช่องโหว่ที่ถูกโจมตี เช่น CVE-2025-6218