Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Sự dễ bị tổn thương Lỗ hổng bảo mật WinRAR CVE-2025-6218

Lỗ hổng bảo mật WinRAR CVE-2025-6218

Đến năm Mezo năm Sự dễ bị tổn thương, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã chính thức bổ sung một lỗ hổng bảo mật trong phần mềm nén và lưu trữ tệp WinRAR vào danh mục Các lỗ hổng đã bị khai thác (KEV) của mình. Cơ quan này dẫn chứng bằng chứng cho thấy lỗ hổng này đang bị khai thác rộng rãi, làm dấy lên lo ngại cho cả các tổ chức và người dùng cá nhân.

Lỗ hổng này, được theo dõi với mã CVE-2025-6218 và điểm CVSS là 7.8, là một lỗ hổng tấn công chiếm quyền điều khiển thư mục cho phép kẻ tấn công thực thi mã trong ngữ cảnh của người dùng hiện tại. Để khai thác thành công, nạn nhân phải truy cập vào một trang web độc hại hoặc mở một tập tin được tạo ra đặc biệt.

Chi tiết về lỗi và trạng thái bản vá

RARLAB đã khắc phục lỗ hổng này trong WinRAR 7.12, phát hành vào tháng 6 năm 2025. Lỗi này chỉ ảnh hưởng đến các bản dựng dành cho Windows; các phiên bản dành cho Unix, Android và các nền tảng khác không bị ảnh hưởng.

Lỗ hổng này cho phép kẻ tấn công đặt các tập tin vào các vị trí nhạy cảm trong hệ thống, chẳng hạn như thư mục Khởi động của Windows, có khả năng kích hoạt việc thực thi mã không mong muốn khi đăng nhập hệ thống lần tiếp theo.

Hoạt động của tác nhân đe dọa

Nhiều báo cáo về an ninh mạng chỉ ra rằng lỗ hổng CVE-2025-6218 đã bị ba nhóm đối tượng tấn công khác nhau khai thác:

  • GOFFEE (Người sói giấy)
  • Đắng (APT-C-08 / Manlinghua)
  • Gamaredon
  • Chiến dịch GOFFEE

Vào tháng 7 năm 2025, GOFFEE được cho là đã kết hợp CVE-2025-6218 với CVE-2025-8088, một lỗ hổng bảo mật nghiêm trọng khác liên quan đến việc xâm nhập đường dẫn WinRAR (điểm CVSS 8.8), để nhắm mục tiêu vào các tổ chức thông qua email lừa đảo. Những cuộc tấn công này cho thấy một nỗ lực phối hợp và tinh vi nhằm xâm phạm môi trường doanh nghiệp.

Khai thác APT cay đắng

Bitter, một nhóm APT tập trung vào khu vực Nam Á, đã lợi dụng lỗ hổng này để duy trì sự hiện diện trên các hệ thống bị xâm nhập và triển khai phần mềm độc hại C# bằng cách sử dụng một trình tải xuống nhẹ. Cuộc tấn công liên quan đến một tệp lưu trữ RAR có tên Provision of Information for Sectoral for AJK.rar, chứa một tài liệu Word vô hại và một mẫu macro độc hại.

Các yếu tố chính của cuộc tấn công bao gồm:

  • Thêm đoạn mã Normal.dotm vào đường dẫn mẫu toàn cục của Microsoft Word, đảm bảo macro sẽ tự động thực thi mỗi khi Word được mở.
  • Vượt qua các biện pháp bảo vệ macro email tiêu chuẩn đối với các tài liệu nhận được sau khi hệ thống bị xâm nhập.
  • Cho phép phần mềm độc hại này liên lạc với máy chủ C2 bên ngoài tại johnfashionaccess.com, tạo điều kiện thuận lợi cho việc ghi lại thao tác bàn phím, chụp ảnh màn hình, đánh cắp thông tin đăng nhập RDP và trích xuất tập tin.

Các kho lưu trữ này chủ yếu được phát tán thông qua các chiến dịch tấn công lừa đảo có chủ đích (spear-phishing).

Khai thác Gamaredon

Nhóm Gamaredon có liên hệ với Nga cũng đã lợi dụng lỗ hổng CVE-2025-6218 trong các chiến dịch lừa đảo nhắm vào các thực thể quân sự, chính phủ, chính trị và hành chính của Ukraine. Phần mềm độc hại này, được đặt tên là Pteranodon, lần đầu tiên được phát hiện vào tháng 11 năm 2025.

Bằng chứng cho thấy đây không phải là hoạt động cơ hội. Nó thể hiện hoạt động gián điệp và phá hoại có cấu trúc, hướng đến mục tiêu quân sự, có khả năng được phối hợp bởi tình báo nhà nước Nga. Thêm vào đó, Gamaredon đã lợi dụng lỗ hổng bảo mật CVE-2025-8088 để phát tán phần mềm độc hại Visual Basic Script và triển khai một công cụ xóa dữ liệu phá hoại có tên GamaWiper, đánh dấu bước chuyển đổi đầu tiên được quan sát thấy của nhóm này từ hoạt động gián điệp sang hoạt động phá hoại.

Những bài học rút ra cho các đội ngũ an ninh

Các tổ chức và đội ngũ an ninh nên ưu tiên các hành động sau:

  • Hãy đảm bảo tất cả các hệ thống Windows đang chạy WinRAR đều được cập nhật lên phiên bản 7.12 trở lên.
  • Hãy luôn cảnh giác trước các chiến dịch lừa đảo trực tuyến, đặc biệt là các email lừa đảo có chứa tệp lưu trữ RAR hoặc tài liệu Word.
  • Theo dõi các hoạt động đáng ngờ cho thấy sự hiện diện của các phần mềm độc hại lưu lại màn hình, ghi lại thao tác bàn phím hoặc các nỗ lực liên lạc với máy chủ điều khiển (C2).
  • Cần nhận thức rằng các tác nhân do nhà nước bảo trợ có thể kết hợp nhiều lỗ hổng bảo mật để thực hiện các cuộc tấn công có chủ đích.

Việc chủ động vá lỗi, duy trì bảo mật email và giám sát điểm cuối là rất quan trọng để giảm thiểu các mối đe dọa nâng cao này và hạn chế tác động đến hoạt động của các lỗ hổng bị khai thác như CVE-2025-6218.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
30,450
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...