Kahinaan sa CVE-2025-8088 WinRAR
Natuklasan ng mga mananaliksik sa seguridad ang malawakang pagsasamantala sa isang kritikal na kahinaan sa RARLAB WinRAR na ngayon ay na-patch na ng maraming aktor ng banta. Parehong sinamantala ng mga kalaban ng bansa at mga grupong may motibasyon sa pananalapi ang depekto upang makakuha ng paunang access sa mga target na kapaligiran at mag-deploy ng malawak na hanay ng mga malisyosong payload. Sa kabila ng pag-patch noong Hulyo 2025, ang kahinaan ay patuloy na inaabuso sa iba't ibang operasyon, na nagpapakita ng mga patuloy na panganib na nauugnay sa hindi na-patch na software.
Talaan ng mga Nilalaman
CVE-2025-8088: Pangkalahatang-ideya at Epekto ng Teknikal
Ang kahinaan, na sinusubaybayan bilang CVE-2025-8088 na may markang CVSS na 8.8, ay natugunan sa WinRAR bersyon 7.13, na inilabas noong Hulyo 30, 2025. Ang exploitation ay nagbibigay-daan sa arbitraryong pagpapatupad ng code sa pamamagitan ng mga espesyal na ginawang archive file na binuksan sa mga mahinang bersyon ng software. Ang ugat na sanhi ay isang path traversal flaw na nagpapahintulot sa mga attacker na mag-drop ng mga file sa mga sensitibong lokasyon, lalo na ang Windows Startup folder, na nagbibigay-daan sa stealthy persistence at awtomatikong pagpapatupad sa pag-restart ng system at pag-login ng user.
Ang pamamaraan ng pagsasamantalang ito ay sumasalamin sa mas malawak na agwat sa depensa sa pangunahing kalinisan ng seguridad ng aplikasyon at kamalayan ng end user.
Mula Zero-Day hanggang N-Day: Ang Ebolusyon ng mga Pag-atake
Ang depekto ay ginamit bilang isang zero-day noon pang Hulyo 18, 2025, lalo na ng dual-motivation threat group na RomCom (kilala rin bilang CIGAR o UNC4895). Ang mga operasyong ito ay naghatid ng isang variant ng SnipBot (NESTPACKER) malware. Iniuugnay din ng mga mananaliksik ang kaugnay na aktibidad sa cluster na sinusubaybayan bilang UNC2596, na naiugnay sa mga pag-deploy ng Cuba Ransomware.
Kasunod ng pampublikong pagsisiwalat at pag-patch, ang kahinaan ay mabilis na naging isang malawakang sinasamantalang n-day, kung saan ang mga umaatake ay naglalagay ng mga malisyosong file, kadalasan ay mga payload ng Windows shortcut (LNK) na nakatago sa mga alternatibong data stream (ADS), sa loob ng decoy content. Kapag na-extract na, ang mga file na ito ay inilalagay sa mga paunang natukoy na path ng system at awtomatikong nati-trigger pagkatapos ng pag-reboot.
Pagpapalawak ng Operasyon ng Nation-State sa Pagsasamantala
Maraming grupong banta na nauugnay sa gobyerno ang nagsama ng CVE-2025-8088 sa mga aktibong kampanya. Ang mga aktor na kakampi ng Russia, sa partikular, ay gumamit ng mga pasadyang pang-akit at pangalawang payload upang isulong ang parehong mga layunin sa paniniktik at paggambala:
- Nag-deploy ang Sandworm (kilala rin bilang APT44 o FROZENBARENTS) ng mga archive na naglalaman ng mga decoy file na may temang Ukrainian kasama ng mga malisyosong LNK payload na idinisenyo upang kumuha ng mga karagdagang bahagi.
- Tinarget ng Gamaredon (kilala rin bilang CARPATHIAN) ang mga entidad ng gobyerno ng Ukraine gamit ang mga RAR archive na naghatid ng mga HTML Application (HTA) downloader bilang unang yugto.
- Inabuso ng Turla (kilala rin bilang SUMMIT) ang depekto upang ipamahagi ang STOCKSTAY malware framework, gamit ang mga temang social engineering na nauugnay sa mga aktibidad ng militar ng Ukraine at mga aktibidad na may kaugnayan sa drone.
Kasabay nito, isang threat actor na nakabase sa Tsina ang gumamit ng parehong kahinaan upang i-install ang Poison Ivy, na inihatid sa pamamagitan ng isang batch script na inilagay sa Windows Startup folder at na-configure upang kumuha ng pangalawang dropper.
Mga Kampanya na May Motibasyon sa Pinansyal at Pag-target sa Komersyal
Mabilis na ginamit ng mga cybercriminal group ang kahinaan upang mag-deploy ng mga commodity remote access trojan (RAT) at mga nagnanakaw ng impormasyon laban sa mga komersyal na biktima. Kabilang sa mga naobserbahang payload ang mga backdoor na kontrolado ng bot ng Telegram, pati na rin ang mga pamilya ng malware tulad ng AsyncRAT at XWorm.
Sa isang kapansin-pansing kampanya, isang grupo ng cybercrime na kilala sa pag-target sa mga gumagamit ng Brazil ang nagpamahagi ng isang malisyosong extension ng Chrome. Naglagay ang extension na ito ng JavaScript sa mga pahina ng dalawang website ng pagbabangko sa Brazil upang magpakita ng phishing content at kumuha ng mga kredensyal ng gumagamit, na nagpapakita ng kakayahang umangkop ng unang access na nakuha sa pamamagitan ng WinRAR exploit.
Mga Pamilihang Ilalim ng Lupa at ang Pagkokomoditisasyon ng mga Pagsasamantala
Ang mabilis at malawakang pag-aampon ng CVE-2025-8088 ay tinatayang nagmumula sa isang maunlad na ekonomiya ng underground exploit. Ang mga WinRAR exploit ay naiulat na inanunsyo sa halagang libu-libong dolyar, na nagbabawas sa hadlang sa pagpasok para sa malawak na hanay ng mga aktor. Isang supplier na nagpapatakbo sa ilalim ng alyas na 'zeroplayer' ang nagbenta ng isang WinRAR exploit sa mga linggo bago ang pampublikong pagsisiwalat ng CVE-2025-8088.
Ang patuloy na papel ng Zeroplayer bilang isang upstream provider ay naglalarawan ng pagiging komoditi ng attack lifecycle, kung saan ang mga turnkey exploit capabilities ay nakakabawas sa mga gastos sa pag-develop at nagbibigay-daan sa mga grupo na may iba't ibang motibasyon na magsagawa ng mga sopistikadong operasyon.
Isang Mas Malawak na Padron: Karagdagang mga Depekto sa WinRAR na Inaatake
Ang aktibidad na ito ay kasabay ng mga pagtatangkang pagsasamantala laban sa isa pang kahinaan sa WinRAR, ang CVE-2025-6218 (iskor ng CVSS: 7.8). Maraming aktor ng banta, kabilang ang GOFFEE, Bitter, at Gamaredon, ang naobserbahang ginagamit ang hiwalay na depektong ito, na nagpapatibay sa patuloy na banta na dulot ng mga kahinaan sa n-day at ang bilis kung saan ginagamit ng mga kalaban ang mga bagong isiniwalat na kahinaan.
Mga Istratehikong Implikasyon para sa mga Tagapagtanggol
Ang patuloy na pang-aabuso sa mga na-patch na kahinaan sa WinRAR ay nagbibigay-diin sa kahalagahan ng napapanahong pamamahala ng patch, pagsasanay sa kamalayan ng gumagamit, at pagsubaybay sa mga mekanismo ng persistence tulad ng mga hindi awtorisadong file sa mga startup directory. Ang pagtatagpo ng state-sponsored at kriminal na pagsasamantala ay higit pang nagpapakita kung gaano kabilis nagiging mga pinagsasaluhang mapagkukunan ang mga kritikal na kahinaan sa buong threat landscape.
