圈小蛙
两个俄罗斯网络犯罪集团正在积极利用广泛使用的 WinRAR 文件压缩软件中存在的高危零日(0day)漏洞。这些攻击利用打开钓鱼邮件中附带的恶意存档,使计算机被植入后门,其中一些是个性化定制的。
安全公司ESET表示,其于 7 月 18 日首次检测到此类攻击,当时其遥测系统在一个异常的目录路径中发现了一个文件。到 7 月 24 日,ESET 确定该行为与利用 WinRAR 中的一个未知漏洞有关。WinRAR 是一款文件压缩实用程序,其安装用户群约为 5 亿。ESET 于同一天通知了 WinRAR 开发人员,并在六天后发布了修复程序。
付出大量努力并投入大量资源
该漏洞似乎拥有超强的 Windows 能力。它滥用了备用数据流 (ALS),这是一项 Windows 功能,允许以不同的方式表示同一文件路径。该漏洞利用了该功能触发了一个此前未知的路径遍历漏洞,导致 WinRAR 在攻击者选择的文件路径 %TEMP% 和 %LOCALAPPDATA% 中植入恶意可执行文件,而 Windows 通常禁止访问这些路径,因为它们具有执行代码的能力。
ESET 表示,已确定这些攻击来自 RomCom,这是其追踪的一个以经济利益为目的的俄罗斯犯罪集团。该组织资源丰富,多年来一直活跃于各种攻击活动,展现出其获取漏洞和执行相当复杂的间谍技术的能力。该组织使用的零日漏洞目前被追踪为 CVE-2025-8088。
ESET 的 Anton Cherepanov、Peter Strýček 和 Damien Schaeffer 写道:“通过利用 WinRAR 中一个此前未知的零日漏洞,RomCom 组织表明其愿意在其网络行动中投入大量精力和资源。这至少是 RomCom 第三次在野外利用零日漏洞,凸显了其持续专注于获取漏洞并利用其进行定向攻击。”
奇怪的是,RomCom 并非唯一一个利用 CVE-2025-8088 漏洞的组织。据俄罗斯安全公司 Bi.ZONE 称,其追踪的 Paper Werewolf 组织也在积极利用该漏洞。该组织也被追踪为 GOFFEE,还在利用 CVE-2025-6218,这是一个单独的高危 WinRAR 漏洞,该漏洞在 CVE-2025-8088 被修补的五周前就已修复。
BI.ZONE 表示,“Paper Werewolf”在 7 月和 8 月通过冒充全俄研究所员工的电子邮件附件档案传播了这些漏洞。其最终目标是安装恶意软件,使“Paper Werewolf”能够访问受感染的系统。
虽然 ESET 和 BI.ZONE 的发现彼此独立,但尚不清楚利用这些漏洞的团体是否存在关联,或是否从同一来源获取了相关知识。BI.ZONE 推测,Paper Werewolf 可能在黑市犯罪论坛中获取了这些漏洞。
ESET 表示,其观察到的攻击遵循三条执行链。其中一条链用于针对特定组织的攻击,它使用一种称为COM 劫持的方法执行隐藏在存档中的恶意 DLL 文件,从而使其被某些应用程序(例如 Microsoft Edge)执行。它看起来像这样:
存档中的 DLL 文件解密了嵌入的 Shellcode,该 Shellcode 随后检索当前计算机的域名,并将其与硬编码值进行比较。当两者匹配时,Shellcode 会安装Mythic Agent漏洞利用框架的自定义实例。
第二条攻击链运行了一个恶意的 Windows 可执行文件,以传递最终的有效载荷,安装已知的 RomCom 恶意软件 SnipBot。它通过在空虚拟机或沙盒中打开时终止来阻止一些取证分析的尝试,这是研究人员常用的做法。第三条攻击链利用了另外两个已知的 RomCom 恶意软件,一个被称为RustyClaw,另一个被称为Melting Claw。
WinRAR 漏洞此前曾被利用来安装恶意软件。2019 年的一个代码执行漏洞在被修补后不久就遭到广泛利用。2023 年,一个 WinRAR 零日漏洞被利用了四个多月才被发现。
除了庞大的用户群外,WinRAR 还成为了传播恶意软件的完美工具,因为该实用程序没有自动安装新更新的机制。这意味着用户必须主动下载并安装补丁。此外,ESET 表示,Windows 版本的命令行实用程序 UnRAR.dll 和可移植的 UnRAR 源代码也存在漏洞。大家应该避开所有低于 7.13 版本的 WinRAR,在本文发布时,该版本是最新版本。WinRAR 修复了所有已知漏洞,但考虑到 WinRAR 零日漏洞层出不穷,这并不能保证万无一失。