eset 确定 由两个俄罗斯网络犯罪集团Romcom和Paper Waywolf积极利用Winrar零日脆弱性(CVE-2025-8088),并于7月18日进行了初步检测,并于7月24日向Winrar开发人员进行了通知,导致了六天后的修复程序。
7月18日,ESET的遥测系统记录了一条不寻常的文件路径,引发了调查。到7月24日,ESET确定这种异常活动源于Winrar中未知脆弱性的剥削,Winrar是一种广泛使用的文件压缩实用程序,估计在全球范围内进行了5亿个安装。 Eset在同一天向Winrar开发人员传达了这一发现。 Winrar随后发布了一个补丁程序,该补丁涉及ESET通知后六天的漏洞。
已确定的漏洞(现已指定为CVE-2025-8088)被利用Windows的备用数据流功能。此特定功能允许多种表示单个文件路径的方法。利用利用该功能以触发先前未知的路径遍历缺陷。这个缺陷使Winrar能够将恶意可执行文件放入特定的攻击者选择的目录中,即temp%和%localappdata%。这些目录通常受Windows的限制,因为它们可以执行代码,从而使他们的操作成为了重要的安全旁路。
ESET将观察到的攻击归因于ROMCOM,Romcom是一个从俄罗斯运营的网络犯罪组织。该小组一直活跃了几年,证明了在其网络运营中执行复杂的Tradecraft的能力。 Romcom对CVE-2025-8088的开发强调了他们对将大量资源投资于网络运营的承诺。 ESET的Anton Cherepanov,Petertrýček和Damien Schaeffer指出:“通过利用以前未知的零日脆弱性,Romcom组表明,它表明,它愿意在其网络上投入认真的努力和资源,至少这是Romcom的第三次使用,这是Romcom在野外的范围中使用的,并重点介绍了零件的重点,重点介绍了该范围的重点,重点是亮点,重点是亮点,重点是亮点,重点是亮点,重点介绍了启动的介绍攻击。”
CVE-2025-8088并未仅由Romcom利用。俄罗斯安全公司BI.Zone独立记录了一个集体对同一脆弱性的积极利用,该小组跟踪像纸质狼人一样,也称为戈菲。 Bi.Zone还报告说,纸质狼人剥削了CVE-2025-6218,这是一个单独的高层Winrar脆弱性,在CVE-2025-8088修复程序之前大约五个星期收到了补丁。
Bi.Zone报告说,纸质狼人在7月和8月分发了漏洞。这些漏洞利用是通过档案中的档案进行的,这些档案是通过信奉全俄罗斯研究所的员工的电子邮件。这些攻击的目的是安装恶意软件,提供纸质狼人,并未授权访问妥协的系统。尽管Eset和Bi.Zone做出了独立的发现,但群体或其剥削知识的起源之间的任何联系仍未得到证实。 Bi.Zone推测,纸质狼人可能通过黑暗市场犯罪论坛获得了漏洞。
ESET对攻击的分析确定了三个不同的执行链。一条链,专门针对特定组织的攻击,涉及隐藏在档案中的恶意DLL文件。该DLL是使用一种称为COM劫持的技术执行的,该技术导致其由Microsoft Edge等合法应用程序启动。存档解密的嵌入式壳代码中的DLL文件。此ShellCode随后检索了当前机器的域名,并将其与硬编码值进行了比较。如果发生匹配,则壳牌码继续安装神话代理剥削框架的自定义实例。
第二个执行链涉及恶意窗口可执行文件,该窗口可执行,该窗口将Snipbot(已知的ROMCOM恶意软件)作为其最终有效载荷。这种Snipbot的这种变体融合了抗分析机制,在空的虚拟机或沙盒环境中打开时终止其执行,这是恶意软件用于逃避研究人员的法医检查的常见实践。
第三个执行链利用了另外两个已建立的ROMCOM恶意软件:RustyClaw和熔化的爪子。 Winrar漏洞已被利用用于恶意软件分发。在其补丁发布后不久,在2019年确定的代码执行漏洞被广泛利用。 2023年,在发现之前,Winrar零日仍未被发现和利用四个月。
Winrar的大量用户群,加上缺乏自动化更新机制,使其成为恶意软件传播的有效工具。用户必须手动下载并安装补丁以保护其系统。 ESET还确认,命令行实用程序的Windows版本,unrar.dll和Portable Unrar源代码也容易受到漏洞的影响。用户应更新到Winrar版本7.13或更高版本,在本报告时,该版本是最新版本,其中包括所有已知漏洞的修复程序。
