Вразливість WinRAR CVE-2025-6218
Агентство США з кібербезпеки та безпеки інфраструктури (CISA) офіційно додало до свого каталогу відомих вразливостей (KEV) недолік безпеки в архіваторі та утиліті стиснення файлів WinRAR. Агентство навело докази того, що ця вразливість активно використовується, що викликає занепокоєння як у організацій, так і у окремих користувачів.
Уразливість, що відстежується як CVE-2025-6218 з оцінкою CVSS 7,8, являє собою вразливість, що дозволяє зловмиснику виконувати код у контексті поточного користувача. Для успішної експлуатації ціль повинна або відвідати шкідливий веб-сайт, або відкрити спеціально створений файл.
Зміст
Деталі статусу недоліків та виправлень
RARLAB виправив цю вразливість у WinRAR 7.12, випущеному в червні 2025 року. Недолік впливає лише на збірки на базі Windows; версії для Unix, Android та інших платформ залишаються неушкодженими.
Ця вразливість дозволяє зловмисникам розміщувати файли в конфіденційних місцях системи, таких як папка автозавантаження Windows, що потенційно може спровокувати ненавмисне виконання коду під час наступного входу в систему.
Активність суб'єкта загрози
Численні звіти про кібербезпеку вказують на те, що CVE-2025-6218 використовували три окремі зловмисники:
- ГОФФІ (Паперовий перевертень)
- Гіркий (APT-C-08 / Маньлінхуа)
- Гамаредон
- Кампанії GOFFEE
У липні 2025 року GOFFEE нібито поєднала CVE-2025-6218 з CVE-2025-8088, ще однією вразливістю WinRAR Path Traversal з високим рівнем ризику (оцінка CVSS 8,8), щоб атакувати організації через фішингові електронні листи. Ці атаки свідчать про скоординовані та складні зусилля щодо компрометації корпоративного середовища.
Жорстока експлуатація APT
Bitter, APT-група, що спеціалізується на Південній Азії, використала цю вразливість для збереження її персистентності на скомпрометованих системах та розгорнула трояна C# за допомогою легкого завантажувача. Атака включає RAR-архів під назвою Provision of Information for Sectoral for AJK.rar, що містить безпечний документ Word та шаблон шкідливого макросу.
Ключові механізми атаки включають:
- Розміщення Normal.dotm у глобальному шляху шаблону Microsoft Word забезпечує автоматичне виконання макросу щоразу, коли Word відкривається.
Ці архіви розповсюджуються переважно через фішингові кампанії.
Експлуатація Гамаредона
Пов'язана з Росією група Gamaredon також використовувала CVE-2025-6218 у фішингових кампаніях, спрямованих на українські військові, урядові, політичні та адміністративні установи. Шкідливе програмне забезпечення, яке отримало назву Pteranodon, вперше було виявлено у листопаді 2025 року.
Докази вказують на те, що це не опортуністична діяльність. Це структуроване, військово-орієнтоване шпигунство та саботаж, ймовірно, координоване російською державною розвідкою. Крім того, Gamaredon зловживала CVE-2025-8088 для доставки шкідливого програмного забезпечення Visual Basic Script та розгортання деструктивного склоочищувача під назвою GamaWiper, що стало першим спостережуваним переходом групи від шпигунства до деструктивних операцій.
Висновки для команд безпеки
Організації та команди безпеки повинні пріоритезувати такі дії:
- Переконайтеся, що всі системи Windows, на яких запущено WinRAR, оновлені до версії 7.12 або пізнішої.
- Будьте пильними щодо фішингових кампаній, особливо щодо електронних листів, що містять архіви RAR або документи Word.
- Відстежуйте підозрілу активність, що свідчить про постійні бекдори, кейлоггери або спроби зв'язку з командним складом.
- Визнайте, що суб'єкти, що фінансуються державою, можуть поєднувати кілька вразливостей для цілеспрямованих атак.
Проактивне встановлення виправлень, гігієна безпеки електронної пошти та моніторинг кінцевих точок мають вирішальне значення для зменшення цих складних загроз та обмеження операційного впливу використаних вразливостей, таких як CVE-2025-6218.
