聲明：該文章來自（藍(lán)點(diǎn)網(wǎng)）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

2025 年 7 月 30 日，流行的壓縮管理器 WinRAR 發(fā)布 v7.13 版披露該工具中存在的目錄遍歷漏洞，漏洞編號為 CVE-2025-8088，不過在公告中 WinRAR 并未透露該漏洞已經(jīng)被利用。

最初發(fā)現(xiàn)漏洞的是安全公司 ESET，在 2025 年 7 月 18 日 ESET 發(fā)現(xiàn)俄羅斯黑客組織 RomCom (微軟稱之 Storm-0978) 利用未被記錄的路徑遍歷漏洞發(fā)起攻擊，隨后 ESET 將漏洞通報(bào)給 WinRAR。

到 2025 年 7 月 30 日 WinRAR 發(fā)布新版本修復(fù)漏洞，現(xiàn)在 ESET 公布此次漏洞細(xì)節(jié)并敦促所有使用 WinRAR 的用戶升級到最新版本，避免黑客利用漏洞在 PC 上安裝后門程序。

利用特制文檔隱藏備用數(shù)據(jù)流發(fā)起攻擊：

ESET 發(fā)布的報(bào)告稱，黑客組織制作包含惡意內(nèi)容的 WinRAR 壓縮包誘導(dǎo)用戶下載并打開，這些特制壓縮包里隱藏大量包含備用數(shù)據(jù)流的有效負(fù)載，目的是隱藏惡意.dll 和.ink (快捷方式)。

當(dāng)用戶使用 WinRAR 打開這些特制壓縮包時(shí)，這些有效負(fù)載會(huì)被自動(dòng)提取到黑客指定的文件夾中，許多備用數(shù)據(jù)流都是無效路徑，ESET 認(rèn)為這是黑客故意添加的，這樣會(huì)生成大量看似無害的 WinRAR 警告，讓用戶降低戒備心。

有效負(fù)載包含的可執(zhí)行文件會(huì)被放在 %TEMP% 或 %LOCALAPPDATA% 目錄中，而.ink 快捷方式文件則被放在 Windows NT 啟動(dòng)目錄中，這樣用戶重啟系統(tǒng) (或者注銷后再登錄) 都可以執(zhí)行快捷方式。

ESET 觀察到 3 種攻擊鏈：

1.Mythic Agent：名為 Update.ink 的快捷方式會(huì)將 msedge.dll (用于冒充微軟 Edge 瀏覽器) 添加到 COM 劫持注冊表為止，該位置會(huì)解密 AES Shellcode，隨后啟動(dòng) Mythic Agent 實(shí)現(xiàn) C2 通信、命令執(zhí)行和 Payload 投遞 (Payload 指的是負(fù)載，代指其他惡意組件)。

2.SnipBot：名為 Display Settings.ink 的快捷方式會(huì)運(yùn)行 ApbxHelper.exe，這是一個(gè)經(jīng)過修改的 PuTTY，這個(gè)修改版本會(huì)檢查最近打開的文檔數(shù)量，然后解密 Shellcode 并從攻擊者的服務(wù)器里下載額外的 Payload。

3.MeltingClaw：名為 Settings.ink 的快捷方式會(huì)啟動(dòng) Complaint.exe，然后下載 MeltingClaw DLL，這個(gè) dll 文件會(huì)從攻擊者的服務(wù)器種獲取更多惡意模塊。

另外俄羅斯網(wǎng)絡(luò)安全公司 Bi.Zone 還觀察到一個(gè)單獨(dú)的活動(dòng)集群，該集群被命名為 Paper Werewolf，這個(gè)集群也同樣使用 CVE-2025-8088 和 CVE-2025-6218 WinRAR 路徑遍歷漏洞展開攻擊。

至于為什么 WinRAR 在 v7.13 版中并未透露該漏洞已經(jīng)在修復(fù)前遭到黑客利用 (屬于零日漏洞范疇)，其開發(fā)商 RARLAB 稱他們并不知道該漏洞的利用細(xì)節(jié)、沒有收到任何用戶報(bào)告，而 ESET 只是分享了開發(fā)補(bǔ)丁所需的技術(shù)信息。

WinRAR v7.13 版下載地址：https://dl.techwan.org/soft/winrar/

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/