俄罗斯黑客利用 WinRAR 零日漏洞攻击欧洲和加拿大
两组俄罗斯黑客利用 WinRAR 零日漏洞,通过网络钓鱼电子邮件传播恶意软件,针对精心挑选的目标。
快速摘要:
WinRAR 漏洞 CVE-2025-8088 已被利用数周,影响了数百万用户。
两个俄罗斯黑客组织 RomCom 和 Paper Werewolf 利用该漏洞传播恶意软件。
攻击技术包括 COM 劫持、SnipBot 安装、RustyClaw 和 Melting Claw。
WinRAR不会自动更新,需要升级到7.13版本以避免风险。
CVE-2025-8088 漏洞及其利用方法
热门文件压缩软件 WinRAR 刚刚修复了一个高危漏洞 CVE-2025-8088,该漏洞已被广泛利用数周。该路径遍历漏洞利用 Windows 的备用数据流功能,允许恶意文件被解压到 %TEMP% 或 %LOCALAPPDATA 等系统文件夹中,从而可能执行代码。
ESET 于 7 月 18 日检测到了攻击迹象,当时它在奇怪的路径中检测到了异常文件。在收到通知仅六天后,WinRAR 于 7 月 30 日发布了补丁(版本 7.13)。

RomCom 和 Paper Werewolf Group 联合开发
ESET 确认 RomCom 组织是此次攻击活动的幕后黑手。该组织是一个长期在俄罗斯活动、以经济利益为目的的网络犯罪集团。这是该组织第三次在有针对性的攻击活动中使用零日漏洞。
值得注意的是,俄罗斯网络安全公司 Bi.ZONE 表示,另一个名为 Paper Werewolf(又名 GOFFEE)的组织也在同时利用 CVE-2025-8088 漏洞。Paper Werewolf 还利用了五周前修补的另一个 WinRAR 漏洞 CVE-2025-6218,通过冒充全俄研究所员工的电子邮件在受害者系统上安装恶意软件。
目前尚不清楚这两个团伙是否有关联,或者是否从黑市上同一来源购买情报。
复杂的攻击链
据 ESET 称,RomCom 部署了三条主要攻击链:
COM劫持:压缩文件中的恶意DLL文件由Microsoft Edge等应用程序触发,解码shellcode以检查机器信息,并在适当的情况下安装Mythic Agent攻击工具。
可执行有效负载:运行 Windows 可执行文件来安装 SnipBot,这是一种在虚拟环境中阻止分析的间谍软件。
多层恶意软件:使用其他恶意软件(如 RustyClaw 和 Melting Claw)来维持访问和控制。
WinRAR 更新缓慢的风险
WinRAR 由于用户数量庞大(约 5 亿),且缺乏自动更新功能,多次成为黑客攻击的目标。用户必须自行下载安装补丁,导致许多系统长期处于易受攻击的状态。
ESET 建议避免使用 7.13 之前的任何 WinRAR 版本,并立即更新以修复所有已知漏洞。