Lỗ hổng bảo mật CVE-2025-8088 trong WinRAR

Các nhà nghiên cứu bảo mật đã phát hiện ra việc khai thác rộng rãi một lỗ hổng nghiêm trọng hiện đã được vá trong phần mềm RARLAB WinRAR bởi nhiều nhóm tội phạm mạng. Cả các đối thủ là các quốc gia và các nhóm có động cơ tài chính đều đã lợi dụng lỗ hổng này để giành quyền truy cập ban đầu vào môi trường mục tiêu và triển khai nhiều loại phần mềm độc hại. Mặc dù đã được vá vào tháng 7 năm 2025, lỗ hổng này vẫn tiếp tục bị lạm dụng trong nhiều hoạt động khác nhau, cho thấy những rủi ro dai dẳng liên quan đến phần mềm chưa được vá lỗi.

CVE-2025-8088: Tổng quan kỹ thuật và tác động

Lỗ hổng này, được theo dõi với mã CVE-2025-8088 và điểm CVSS là 8.8, đã được khắc phục trong phiên bản WinRAR 7.13, phát hành ngày 30 tháng 7 năm 2025. Việc khai thác cho phép thực thi mã tùy ý thông qua các tệp lưu trữ được tạo đặc biệt được mở trong các phiên bản phần mềm dễ bị tổn thương. Nguyên nhân gốc rễ là một lỗ hổng duyệt thư mục cho phép kẻ tấn công thả các tệp vào các vị trí nhạy cảm, đáng chú ý nhất là thư mục Khởi động của Windows, cho phép duy trì hoạt động một cách lén lút và tự động thực thi khi hệ thống khởi động lại và người dùng đăng nhập.

Kỹ thuật khai thác này phản ánh một lỗ hổng phòng thủ rộng hơn trong việc đảm bảo an ninh ứng dụng cơ bản và nhận thức của người dùng cuối.

Từ tấn công Zero-Day đến N-Day: Sự tiến hóa của các cuộc tấn công

Lỗ hổng này đã bị khai thác như một lỗ hổng zero-day ngay từ ngày 18 tháng 7 năm 2025, đáng chú ý là bởi nhóm tội phạm mạng RomCom (còn được gọi là CIGAR hoặc UNC4895) với hai mục đích khác nhau. Các hoạt động này đã phát tán một biến thể của phần mềm độc hại SnipBot (NESTPACKER). Các nhà nghiên cứu cũng liên kết hoạt động liên quan với cụm máy chủ được theo dõi là UNC2596, cụm này có liên quan đến việc triển khai phần mềm tống tiền Cuba Ransomware.

Sau khi được công khai và vá lỗi, lỗ hổng này nhanh chóng trở thành một lỗ hổng khai thác rộng rãi trong thời gian ngắn (n-day), với việc tin tặc nhúng các tệp độc hại, thường là các tệp phím tắt Windows (LNK) được giấu trong các luồng dữ liệu thay thế (ADS), vào bên trong nội dung giả mạo. Sau khi được trích xuất, các tệp này được đặt vào các đường dẫn hệ thống đã được xác định trước và tự động kích hoạt sau khi khởi động lại.

Các hoạt động của quốc gia mở rộng việc khai thác

Nhiều nhóm tội phạm mạng liên kết với chính phủ đã tích hợp lỗ hổng CVE-2025-8088 vào các chiến dịch đang hoạt động. Đặc biệt, các nhóm tin tặc thân Nga đã sử dụng các mồi nhử được thiết kế riêng và các phần mềm độc hại phụ để thúc đẩy cả mục tiêu gián điệp và phá hoại:

• Sandworm (còn được gọi là APT44 hoặc FROZENBARENTS) đã triển khai các tập tin lưu trữ chứa các tệp tin giả mạo mang chủ đề Ukraine cùng với các phần mềm độc hại LNK được thiết kế để thu thập thêm các thành phần khác.
• Gamaredon (còn được gọi là CARPATHIAN) đã nhắm mục tiêu vào các thực thể chính phủ Ukraine bằng cách sử dụng các tệp lưu trữ RAR, trong đó chứa các trình tải xuống ứng dụng HTML (HTA) như một giai đoạn đầu tiên.
• Turla (còn được gọi là SUMMIT) đã lợi dụng lỗ hổng này để phát tán khung phần mềm độc hại STOCKSTAY, sử dụng các chủ đề kỹ thuật xã hội liên quan đến hoạt động quân sự và máy bay không người lái của Ukraine.

Song song đó, một nhóm tin tặc có trụ sở tại Trung Quốc đã lợi dụng lỗ hổng này để cài đặt Poison Ivy, được phân phối thông qua một tập lệnh hàng loạt được thả vào thư mục Khởi động của Windows và được cấu hình để tải xuống một trình phát tán thứ cấp.

Các chiến dịch hướng đến mục tiêu tài chính và nhắm mục tiêu thương mại

Các nhóm tội phạm mạng đã nhanh chóng lợi dụng lỗ hổng này để triển khai các phần mềm độc hại truy cập từ xa (RAT) và phần mềm đánh cắp thông tin nhắm vào các nạn nhân thương mại. Các phần mềm độc hại được phát hiện bao gồm các phần mềm cửa hậu do bot Telegram điều khiển, cũng như các họ phần mềm độc hại như AsyncRAT và XWorm.

Trong một chiến dịch đáng chú ý, một nhóm tội phạm mạng nổi tiếng chuyên nhắm mục tiêu vào người dùng Brazil đã phát tán một tiện ích mở rộng Chrome độc hại. Tiện ích mở rộng này đã chèn mã JavaScript vào các trang web của hai ngân hàng Brazil để hiển thị nội dung lừa đảo và thu thập thông tin đăng nhập của người dùng, cho thấy tính linh hoạt của quyền truy cập ban đầu có được thông qua lỗ hổng WinRAR.

Thị trường ngầm và việc thương mại hóa các hoạt động khai thác

Việc lỗ hổng CVE-2025-8088 được khai thác nhanh chóng và rộng rãi được đánh giá là xuất phát từ một nền kinh tế khai thác ngầm phát triển mạnh. Các lỗ hổng bảo mật WinRAR được cho là đã được rao bán với giá hàng nghìn đô la, làm giảm rào cản gia nhập cho nhiều đối tượng khác nhau. Một nhà cung cấp hoạt động dưới bí danh 'zeroplayer' đã tiếp thị một lỗ hổng WinRAR trong những tuần trước khi CVE-2025-8088 được công khai.

Vai trò tiếp tục của Zeroplayer với tư cách là nhà cung cấp nguồn dữ liệu đầu vào minh họa cho sự thương mại hóa vòng đời tấn công, nơi các khả năng khai thác sẵn có giúp giảm chi phí phát triển và cho phép các nhóm với nhiều động cơ khác nhau thực hiện các hoạt động tinh vi.

Một xu hướng rộng hơn: Các lỗ hổng khác của WinRAR đang bị tấn công

Hoạt động này trùng khớp với các nỗ lực khai thác lỗ hổng bảo mật khác của WinRAR, CVE-2025-6218 (điểm CVSS: 7.8). Nhiều nhóm tin tặc, bao gồm GOFFEE, Bitter và Gamaredon, đã được phát hiện lợi dụng lỗ hổng riêng biệt này, củng cố mối đe dọa thường trực từ các lỗ hổng bảo mật mới phát hiện trong thời gian ngắn và tốc độ mà các đối thủ vận dụng các điểm yếu mới được tiết lộ.

Ý nghĩa chiến lược đối với lực lượng phòng thủ

Việc lạm dụng liên tục các lỗ hổng bảo mật WinRAR đã được vá lỗi nhấn mạnh tầm quan trọng của việc quản lý bản vá kịp thời, đào tạo nâng cao nhận thức người dùng và giám sát các cơ chế duy trì hoạt động như các tập tin trái phép trong thư mục khởi động. Sự kết hợp giữa việc khai thác do nhà nước tài trợ và tội phạm càng chứng minh tốc độ nhanh chóng mà các lỗ hổng nghiêm trọng trở thành tài nguyên được chia sẻ trong toàn bộ hệ sinh thái mối đe dọa.