CVE-2025-8088 WinRAR 漏洞
安全研究人員發現,多個威脅行為者廣泛利用了 RARLAB WinRAR 中一個現已修復的嚴重漏洞。國家級攻擊者和以經濟利益為目的的組織都利用該漏洞獲取了目標環境的初始存取權限,並部署了各種惡意負載。儘管該漏洞已於 2025 年 7 月修復,但仍在各種攻擊活動中持續利用,凸顯了未修復軟體帶來的持續風險。
目錄
CVE-2025-8088:技術概述與影響
此漏洞編號為 CVE-2025-8088,CVSS 評分為 8.8,已在 2025 年 7 月 30 日發布的 WinRAR 7.13 版本中修正。攻擊者可利用此漏洞,透過在存在漏洞的軟體版本中開啟特製的壓縮檔案來執行任意程式碼。根本原因在於路徑遍歷漏洞,攻擊者可利用該漏洞將檔案放置到敏感位置,尤其是 Windows 啟動資料夾,從而實現隱藏持久化,並在系統重新啟動和使用者登入時自動執行程式碼。
這種利用技術反映了應用程式基本安全衛生和最終用戶安全意識方面更廣泛的防禦漏洞。
從零時差攻擊到N日攻擊:攻擊的演變
該漏洞早在2025年7月18日就被利用,成為零時差攻擊,尤其值得一提的是,雙重動機的威脅組織RomCom(又稱CIGAR或UNC4895)利用了該漏洞。這些攻擊活動傳播了SnipBot(NESTPACKER)惡意軟體的變種。研究人員還將相關活動與追蹤到的UNC2596集群聯繫起來,該集群與古巴勒索軟體的部署有關。
在漏洞公開披露並修復後,漏洞迅速演變為被廣泛利用的n天攻擊,攻擊者將惡意檔案(通常是隱藏在備用資料流 (ADS) 中的 Windows 捷徑 (LNK) 有效載荷)嵌入到誘餌內容中。一旦提取出來,這些檔案就會被放置在預先設定的系統路徑中,並在系統重新啟動後自動觸發。
國家行為體擴大剝削範圍
多個與政府有關的威脅組織已將 CVE-2025-8088 應用於其活躍的攻擊活動。特別是與俄羅斯結盟的組織,利用客製化的誘餌和二次載荷來推進間諜活動和破壞目標:
- Sandworm(又稱 APT44 或 FROZENBARENTS)部署了包含烏克蘭主題誘餌文件的歸檔文件,以及旨在檢索其他元件的惡意 LNK 有效載荷。
- Gamaredon(又稱 CARPATHIAN)以烏克蘭政府機構為目標,使用 RAR 壓縮文件,其中第一階段提供 HTML 應用程式 (HTA) 下載器。
同時,一名來自中國的威脅行為者利用同樣的漏洞安裝了 Poison Ivy 惡意軟體,該軟體透過放入 Windows 啟動資料夾的批次腳本進行傳播,並配置為檢索輔助投放器。
以經濟利益為導向的行銷活動和商業定向
網路犯罪集團迅速利用這一漏洞,向商業受害者部署通用型遠端存取木馬(RAT)和資訊竊取程式。已發現的有效載荷包括由 Telegram 殭屍網路控制的後門程序,以及 AsyncRAT 和 XWorm 等惡意軟體家族。
在一次引人注目的攻擊活動中,一個以攻擊巴西用戶而聞名的網路犯罪集團散佈了一款惡意Chrome擴充功能。該擴充功能將JavaScript程式碼注入到兩家巴西銀行網站的頁面中,以展示釣魚內容並竊取使用者憑證,這充分展現了透過WinRAR漏洞獲得的初始存取權限的靈活性。
地下市場與剝削商品化
CVE-2025-8088 的迅速廣泛傳播被認為源於蓬勃發展的地下漏洞利用經濟。據報道,WinRAR 漏洞利用程式售價高達數千美元,降低了各類攻擊者的進入門檻。在 CVE-2025-8088 公開披露前的幾週,一家名為「zeroplayer」的供應商一直在銷售 WinRAR 漏洞程式。
Zeroplayer 作為上游供應商的持續作用,體現了攻擊生命週期的商品化,即開箱即用的漏洞利用能力降低了開發成本,並使具有不同動機的組織能夠進行複雜的攻擊。
更廣泛的模式:WinRAR 的其他漏洞正遭受攻擊
此活動與針對另一個 WinRAR 漏洞 CVE-2025-6218(CVSS 評分:7.8)的攻擊嘗試同時發生。包括 GOFFEE、Bitter 和 Gamaredon 在內的多個威脅行為者已被觀察到利用該漏洞,這進一步凸顯了 n 天漏洞構成的持續威脅,以及攻擊者利用新披露的漏洞進行攻擊的速度。
對防禦者的戰略意義
對已修補的 WinRAR 漏洞的持續濫用凸顯了及時進行修補程式管理、使用者安全意識培訓以及監控持久化機制(例如啟動目錄中的未經授權文件)的重要性。國家支持的攻擊和犯罪分子利用漏洞的整合進一步表明,關鍵漏洞會迅速成為威脅環境中共享的資源。
