
俄黑客利用WinRAR路徑遍歷漏洞發(fā)起攻擊 [附下載]
2025 年 7 月 30 日,流行的壓縮管理器 WinRAR 發(fā)布 v7.13 版披露該工具中存在的目錄遍歷漏洞,漏洞編號(hào)為 CVE-2025-8088,不過(guò)在公告中 WinRAR 并未透露該漏洞已經(jīng)被利用。
最初發(fā)現(xiàn)漏洞的是安全公司 ESET,在 2025 年 7 月 18 日 ESET 發(fā)現(xiàn)俄羅斯黑客組織 RomCom (微軟稱(chēng)之 Storm-0978) 利用未被記錄的路徑遍歷漏洞發(fā)起攻擊,隨后 ESET 將漏洞通報(bào)給 WinRAR。
到 2025 年 7 月 30 日 WinRAR 發(fā)布新版本修復(fù)漏洞,現(xiàn)在 ESET 公布此次漏洞細(xì)節(jié)并敦促所有使用 WinRAR 的用戶升級(jí)到最新版本,避免黑客利用漏洞在 PC 上安裝后門(mén)程序。
利用特制文檔隱藏備用數(shù)據(jù)流發(fā)起攻擊:
ESET 發(fā)布的報(bào)告稱(chēng),黑客組織制作包含惡意內(nèi)容的 WinRAR 壓縮包誘導(dǎo)用戶下載并打開(kāi),這些特制壓縮包里隱藏大量包含備用數(shù)據(jù)流的有效負(fù)載,目的是隱藏惡意.dll 和.ink (快捷方式)。
當(dāng)用戶使用 WinRAR 打開(kāi)這些特制壓縮包時(shí),這些有效負(fù)載會(huì)被自動(dòng)提取到黑客指定的文件夾中,許多備用數(shù)據(jù)流都是無(wú)效路徑,ESET 認(rèn)為這是黑客故意添加的,這樣會(huì)生成大量看似無(wú)害的 WinRAR 警告,讓用戶降低戒備心。
有效負(fù)載包含的可執(zhí)行文件會(huì)被放在 %TEMP% 或 %LOCALAPPDATA% 目錄中,而.ink 快捷方式文件則被放在 Windows NT 啟動(dòng)目錄中,這樣用戶重啟系統(tǒng) (或者注銷(xiāo)后再登錄) 都可以執(zhí)行快捷方式。
ESET 觀察到 3 種攻擊鏈:
1.Mythic Agent:名為 Update.ink 的快捷方式會(huì)將 msedge.dll (用于冒充微軟 Edge 瀏覽器) 添加到 COM 劫持注冊(cè)表為止,該位置會(huì)解密 AES Shellcode,隨后啟動(dòng) Mythic Agent 實(shí)現(xiàn) C2 通信、命令執(zhí)行和 Payload 投遞 (Payload 指的是負(fù)載,代指其他惡意組件)。
2.SnipBot:名為 Display Settings.ink 的快捷方式會(huì)運(yùn)行 ApbxHelper.exe,這是一個(gè)經(jīng)過(guò)修改的 PuTTY,這個(gè)修改版本會(huì)檢查最近打開(kāi)的文檔數(shù)量,然后解密 Shellcode 并從攻擊者的服務(wù)器里下載額外的 Payload。
3.MeltingClaw:名為 Settings.ink 的快捷方式會(huì)啟動(dòng) Complaint.exe,然后下載 MeltingClaw DLL,這個(gè) dll 文件會(huì)從攻擊者的服務(wù)器種獲取更多惡意模塊。
另外俄羅斯網(wǎng)絡(luò)安全公司 Bi.Zone 還觀察到一個(gè)單獨(dú)的活動(dòng)集群,該集群被命名為 Paper Werewolf,這個(gè)集群也同樣使用 CVE-2025-8088 和 CVE-2025-6218 WinRAR 路徑遍歷漏洞展開(kāi)攻擊。
至于為什么 WinRAR 在 v7.13 版中并未透露該漏洞已經(jīng)在修復(fù)前遭到黑客利用 (屬于零日漏洞范疇),其開(kāi)發(fā)商 RARLAB 稱(chēng)他們并不知道該漏洞的利用細(xì)節(jié)、沒(méi)有收到任何用戶報(bào)告,而 ESET 只是分享了開(kāi)發(fā)補(bǔ)丁所需的技術(shù)信息。
WinRAR v7.13 版下載地址:https://dl.techwan.org/soft/winrar/
[超站]友情鏈接:
四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級(jí)服務(wù)市場(chǎng):https://www.ijiandao.com/

隨時(shí)掌握互聯(lián)網(wǎng)精彩
- 1 看總書(shū)記關(guān)心的清潔能源這樣發(fā)電 7904784
- 2 今年最強(qiáng)臺(tái)風(fēng)來(lái)襲 7808370
- 3 澳加英宣布承認(rèn)巴勒斯坦國(guó) 7713882
- 4 長(zhǎng)春航空展這些“首次”不要錯(cuò)過(guò) 7619430
- 5 43歲二胎媽媽患阿爾茨海默病 7522500
- 6 iPhone 17橙色斜挎掛繩賣(mài)斷貨 7424549
- 7 女兒發(fā)現(xiàn)父親500多萬(wàn)遺產(chǎn)用于保健 7328355
- 8 英國(guó)航母從南?!傲锪恕?/a> 7233958
- 9 三所“零近視”小學(xué)帶來(lái)的啟示 7143448
- 10 中國(guó)消失的森林正“全盤(pán)復(fù)活” 7045857