技术

俄罗斯黑客利用 WinRAR 零日漏洞攻击欧洲和加拿大

国阳 DNUM_BCZAIZCACF 14:35

两组俄罗斯黑客利用 WinRAR 零日漏洞,通过网络钓鱼电子邮件传播恶意软件,针对精心挑选的目标。

快速摘要:

WinRAR 漏洞 CVE-2025-8088 已被利用数周,影响了数百万用户。

两个俄罗斯黑客组织 RomCom 和 Paper Werewolf 利用该漏洞传播恶意软件。

攻击技术包括 COM 劫持、SnipBot 安装、RustyClaw 和 Melting Claw。

WinRAR不会自动更新,需要升级到7.13版本以避免风险。

CVE-2025-8088 漏洞及其利用方法

热门文件压缩软件 WinRAR 刚刚修复了一个高危漏洞 CVE-2025-8088,该漏洞已被广泛利用数周。该路径遍历漏洞利用 Windows 的备用数据流功能,允许恶意文件被解压到 %TEMP% 或 %LOCALAPPDATA 等系统文件夹中,从而可能执行代码。

ESET 于 7 月 18 日检测到了攻击迹象,当时它在奇怪的路径中检测到了异常文件。在收到通知仅六天后,WinRAR 于 7 月 30 日发布了补丁(版本 7.13)。

Tin tặc Nga khai thác lỗ hổng zero-day của WinRAR tấn công châu Âu và Canada

RomCom 和 Paper Werewolf Group 联合开发

ESET 确认 RomCom 组织是此次攻击活动的幕后黑手。该组织是一个长期在俄罗斯活动、以经济利益为目的的网络犯罪集团。这是该组织第三次在有针对性的攻击活动中使用零日漏洞。

值得注意的是,俄罗斯网络安全公司 Bi.ZONE 表示,另一个名为 Paper Werewolf(又名 GOFFEE)的组织也在同时利用 CVE-2025-8088 漏洞。Paper Werewolf 还利用了五周前修补的另一个 WinRAR 漏洞 CVE-2025-6218,通过冒充全俄研究所员工的电子邮件在受害者系统上安装恶意软件。

目前尚不清楚这两个团伙是否有关联,或者是否从黑市上同一来源购买情报。

复杂的攻击链

据 ESET 称,RomCom 部署了三条主要攻击链:

COM劫持:压缩文件中的恶意DLL文件由Microsoft Edge等应用程序触发,解码shellcode以检查机器信息,并在适当的情况下安装Mythic Agent攻击工具。

可执行有效负载:运行 Windows 可执行文件来安装 SnipBot,这是一种在虚拟环境中阻止分析的间谍软件。

多层恶意软件:使用其他恶意软件(如 RustyClaw 和 Melting Claw)来维持访问和控制。

WinRAR 更新缓慢的风险

WinRAR 由于用户数量庞大(约 5 亿),且缺乏自动更新功能,多次成为黑客攻击的目标。用户必须自行下载安装补丁,导致许多系统长期处于易受攻击的状态。

ESET 建议避免使用 7.13 之前的任何 WinRAR 版本,并立即更新以修复所有已知漏洞。

特色义安报纸

最新的

x
俄罗斯黑客利用 WinRAR 零日漏洞攻击欧洲和加拿大
供电内容管理系统- 产品