CVE-2025-8088 WinRAR 漏洞
安全研究人员发现,多个威胁行为者广泛利用了 RARLAB WinRAR 中一个现已修复的严重漏洞。国家级攻击者和以经济利益为目的的组织都利用该漏洞获取了目标环境的初始访问权限,并部署了各种恶意载荷。尽管该漏洞已于 2025 年 7 月修复,但仍在各种攻击活动中被持续利用,凸显了未修复软件带来的持续风险。
目录
CVE-2025-8088:技术概述和影响
该漏洞编号为 CVE-2025-8088,CVSS 评分为 8.8,已在 2025 年 7 月 30 日发布的 WinRAR 7.13 版本中修复。攻击者可利用此漏洞,通过在存在漏洞的软件版本中打开特制的压缩文件来执行任意代码。其根本原因在于路径遍历漏洞,攻击者可利用该漏洞将文件放置到敏感位置,尤其是 Windows 启动文件夹,从而实现隐蔽持久化,并在系统重启和用户登录时自动执行代码。
这种利用技术反映了应用程序基本安全卫生和最终用户安全意识方面更广泛的防御漏洞。
从零日攻击到N日攻击:攻击的演变
该漏洞早在2025年7月18日就被利用,成为零日攻击,尤其值得一提的是,双重动机的威胁组织RomCom(又名CIGAR或UNC4895)利用了该漏洞。这些攻击活动传播了SnipBot(NESTPACKER)恶意软件的变种。研究人员还将相关活动与追踪到的UNC2596集群联系起来,该集群与古巴勒索软件的部署有关。
在漏洞公开披露并修复后,该漏洞迅速演变为被广泛利用的n天攻击,攻击者将恶意文件(通常是隐藏在备用数据流 (ADS) 中的 Windows 快捷方式 (LNK) 有效载荷)嵌入到诱饵内容中。一旦提取出来,这些文件就会被放置在预先设定的系统路径中,并在系统重启后自动触发。
国家行为体扩大剥削范围
多个与政府有关联的威胁组织已将 CVE-2025-8088 应用于其活跃的攻击活动中。特别是与俄罗斯结盟的组织,利用定制的诱饵和二次载荷来推进间谍活动和破坏目标:
- Sandworm(又名 APT44 或 FROZENBARENTS)部署了包含乌克兰主题诱饵文件的归档文件,以及旨在检索其他组件的恶意 LNK 有效载荷。
- Gamaredon(又名 CARPATHIAN)以乌克兰政府机构为目标,使用 RAR 压缩文件,其中第一阶段提供 HTML 应用程序 (HTA) 下载器。
与此同时,一名来自中国的威胁行为者利用同样的漏洞安装了 Poison Ivy 恶意软件,该软件通过放入 Windows 启动文件夹的批处理脚本进行传播,并配置为检索辅助投放器。
以经济利益为导向的营销活动和商业定向
网络犯罪团伙迅速利用这一漏洞,向商业受害者部署通用型远程访问木马(RAT)和信息窃取程序。已发现的有效载荷包括由 Telegram 僵尸网络控制的后门程序,以及 AsyncRAT 和 XWorm 等恶意软件家族。
在一次引人注目的攻击活动中,一个以攻击巴西用户而闻名的网络犯罪团伙散布了一款恶意Chrome扩展程序。该扩展程序将JavaScript代码注入到两家巴西银行网站的页面中,以展示钓鱼内容并窃取用户凭证,这充分展现了通过WinRAR漏洞获得的初始访问权限的灵活性。
地下市场与剥削商品化
CVE-2025-8088 的迅速广泛传播被认为源于蓬勃发展的地下漏洞利用经济。据报道,WinRAR 漏洞利用程序售价高达数千美元,降低了各类攻击者的准入门槛。在 CVE-2025-8088 公开披露前的几周,一家名为“zeroplayer”的供应商一直在销售 WinRAR 漏洞利用程序。
Zeroplayer 作为上游供应商的持续作用,体现了攻击生命周期的商品化,即开箱即用的漏洞利用能力降低了开发成本,并使具有不同动机的组织能够进行复杂的攻击。
更广泛的模式:WinRAR 的其他漏洞正遭受攻击
此次活动与针对另一个 WinRAR 漏洞 CVE-2025-6218(CVSS 评分:7.8)的攻击尝试同时发生。包括 GOFFEE、Bitter 和 Gamaredon 在内的多个威胁行为者已被观察到利用该漏洞,这进一步凸显了 n 天漏洞构成的持续威胁,以及攻击者利用新披露的漏洞进行攻击的速度。
对防御者的战略意义
对已修补的 WinRAR 漏洞的持续滥用凸显了及时进行补丁管理、用户安全意识培训以及监控持久化机制(例如启动目录中的未经授权文件)的重要性。国家支持的攻击和犯罪分子利用漏洞的融合进一步表明,关键漏洞会迅速成为威胁环境中共享的资源。
