俄罗斯黑客利用 WinRAR 零日漏洞攻击欧洲和加拿大

CVE-2025-8088 漏洞及其利用方法

热门文件压缩软件 WinRAR 刚刚修复了一个高危漏洞 CVE-2025-8088，该漏洞已被广泛利用数周。该路径遍历漏洞利用 Windows 的备用数据流功能，允许恶意文件被解压到 %TEMP% 或 %LOCALAPPDATA 等系统文件夹中，从而可能执行代码。

ESET 于 7 月 18 日检测到了攻击迹象，当时它在奇怪的路径中检测到了异常文件。在收到通知仅六天后，WinRAR 于 7 月 30 日发布了补丁（版本 7.13）。

RomCom 和 Paper Werewolf Group 联合开发

ESET 确认 RomCom 组织是此次攻击活动的幕后黑手。该组织是一个长期在俄罗斯活动、以经济利益为目的的网络犯罪集团。这是该组织第三次在有针对性的攻击活动中使用零日漏洞。

值得注意的是，俄罗斯网络安全公司 Bi.ZONE 表示，另一个名为 Paper Werewolf（又名 GOFFEE）的组织也在同时利用 CVE-2025-8088 漏洞。Paper Werewolf 还利用了五周前修补的另一个 WinRAR 漏洞 CVE-2025-6218，通过冒充全俄研究所员工的电子邮件在受害者系统上安装恶意软件。

目前尚不清楚这两个团伙是否有关联，或者是否从黑市上同一来源购买情报。

复杂的攻击链

据 ESET 称，RomCom 部署了三条主要攻击链：

COM劫持：压缩文件中的恶意DLL文件由Microsoft Edge等应用程序触发，解码shellcode以检查机器信息，并在适当的情况下安装Mythic Agent攻击工具。

可执行有效负载：运行 Windows 可执行文件来安装 SnipBot，这是一种在虚拟环境中阻止分析的间谍软件。

多层恶意软件：使用其他恶意软件（如 RustyClaw 和 Melting Claw）来维持访问和控制。

WinRAR 更新缓慢的风险

WinRAR 由于用户数量庞大（约 5 亿），且缺乏自动更新功能，多次成为黑客攻击的目标。用户必须自行下载安装补丁，导致许多系统长期处于易受攻击的状态。

ESET 建议避免使用 7.13 之前的任何 WinRAR 版本，并立即更新以修复所有已知漏洞。