Multi-License Discount Quote
Banta sa Database kahinaan Kahinaan sa WinRAR CVE-2025-6218

Kahinaan sa WinRAR CVE-2025-6218

Sa pamamagitan ng Mezo sa kahinaan, Advanced Persistent Threat (APT)
Isalin To:

Pormal na idinagdag ng US Cybersecurity and Infrastructure Security Agency (CISA) ang isang depekto sa seguridad sa WinRAR file archiver at compression utility sa katalogo nito na Known Exploited Vulnerabilities (KEV). Binanggit ng ahensya ang ebidensya na ang kahinaan ay aktibong sinasamantala sa kalikasan, na nagtataas ng mga alalahanin para sa mga organisasyon at indibidwal na gumagamit.

Ang depekto, na sinusubaybayan bilang CVE-2025-6218 na may CVSS score na 7.8, ay isang path traversal vulnerability na nagpapahintulot sa isang attacker na isagawa ang code sa konteksto ng kasalukuyang user. Ang matagumpay na exploitation ay nangangailangan na ang target ay bumisita sa isang malisyosong website o magbukas ng isang espesyal na ginawang file.

Mga Detalye ng Katayuan ng Depekto at Patch

Natugunan ng RARLAB ang kahinaang ito sa WinRAR 7.12, na inilabas noong Hunyo 2025. Ang depekto ay nakakaapekto lamang sa mga build na nakabase sa Windows; ang mga bersyon para sa Unix, Android, at iba pang mga platform ay nananatiling hindi maaapektuhan.

Ang kahinaan ay nagbibigay-daan sa mga umaatake na maglagay ng mga file sa mga sensitibong lokasyon ng system, tulad ng folder ng Windows Startup, na posibleng mag-trigger ng hindi sinasadyang pagpapatupad ng code sa susunod na pag-login sa system.

Aktibidad ng Aktor na Nagbabanta

Maraming ulat sa cybersecurity ang nagpapahiwatig na ang CVE-2025-6218 ay sinamantala ng tatlong magkakaibang aktor ng banta:

  • GOFFEE (Lobong Papel)
  • Mapait (APT-C-08 / Manlinghua)
  • Gamaredon
  • Mga Kampanya ng GOFFEE

Noong Hulyo 2025, diumano'y pinagsama ng GOFFEE ang CVE-2025-6218 sa CVE-2025-8088, isa pang high-severity na kahinaan sa WinRAR path traversal (CVSS score 8.8), upang i-target ang mga organisasyon sa pamamagitan ng mga phishing email. Ang mga pag-atakeng ito ay nagmumungkahi ng isang koordinado at sopistikadong pagsisikap na ikompromiso ang mga kapaligiran ng korporasyon.

Mapait na Pagsasamantala sa APT

Ginamit ng Bitter, isang grupong APT na nakatuon sa Timog Asya, ang kahinaan upang mapanatili ang kanilang katatagan sa mga nakompromisong sistema at mag-deploy ng C# trojan gamit ang isang lightweight downloader. Ang pag-atake ay kinasasangkutan ng isang RAR archive na pinangalanang Provision of Information for Sectoral para sa AJK.rar, na naglalaman ng isang hindi kanais-nais na dokumento ng Word at isang malisyosong macro template.

Ang mga pangunahing mekanismo ng pag-atake ay kinabibilangan ng:

  • Ilalagay ang Normal.dotm sa pandaigdigang template path ng Microsoft Word, tinitiyak na awtomatikong gagana ang macro sa bawat oras na bubuksan ang Word.
  • Paglampas sa mga karaniwang proteksyon ng macro ng email para sa mga dokumentong natanggap pagkatapos ng kompromiso.
  • Pagpapagana sa trojan na makipag-ugnayan sa isang panlabas na C2 server sa johnfashionaccess.com, na nagpapadali sa keylogging, pagkuha ng screenshot, pagnanakaw ng kredensyal ng RDP, at pag-exfiltrate ng file.

Ang mga archive na ito ay pangunahing ipinamamahagi sa pamamagitan ng mga kampanyang spear-phishing.

Pagsasamantala sa Gamaredon

Ang grupong Gamaredon na kaakibat ng Russia ay ginamit din ang CVE-2025-6218 sa mga kampanyang phishing na tumatarget sa mga entidad ng militar, gobyerno, politika, at administratibo ng Ukraine. Ang malware, na tinatawag na Pteranodon, ay unang naobserbahan noong Nobyembre 2025.

Ipinapahiwatig ng ebidensya na hindi ito isang oportunistikong aktibidad. Kinakatawan nito ang nakabalangkas, nakatuon sa militar na paniniktik at sabotahe, na malamang na pinangunahan ng paniktik ng estado ng Russia. Bukod pa rito, inabuso ng Gamaredon ang CVE-2025-8088 upang maghatid ng Visual Basic Script malware at mag-deploy ng isang mapanirang wiper na pinangalanang GamaWiper, na minarkahan ang unang naobserbahang paglipat ng grupo mula sa paniniktik patungo sa mapanirang operasyon.

Mga Dapat Tandaan para sa mga Security Team

Dapat unahin ng mga organisasyon at pangkat ng seguridad ang mga sumusunod na aksyon:

  • Tiyaking ang lahat ng Windows system na nagpapatakbo ng WinRAR ay na-update sa bersyon 7.12 o mas bago.
  • Manatiling mapagmatyag laban sa mga kampanya ng phishing, lalo na ang mga email na spear-phishing na naglalaman ng mga RAR archive o mga dokumento ng Word.
  • Subaybayan ang kahina-hinalang aktibidad na nagpapahiwatig ng patuloy na backdoors, keylogging, o mga pagtatangka ng komunikasyon sa C2.
  • Kilalanin na maaaring pagsamahin ng mga aktor na inisponsor ng estado ang maraming kahinaan para sa mga naka-target na pag-atake.

Ang proactive patching, kalinisan sa seguridad ng email, at pagsubaybay sa endpoint ay mahalaga sa pagpapagaan ng mga advanced na banta na ito at paglimita sa epekto sa operasyon ng mga sinasamantalang kahinaan tulad ng CVE-2025-6218.

Trending

Pinaka Nanood

Naglo-load...