CVE-2025-8088是一個針對WinRAR的高風險零日攻擊漏洞,最早在今年7月中旬就曾被RomCom用於APT(advanced persistant threat)攻擊中,透過該漏洞將惡意軟體植入受害者的電腦並連線至C&C進行後續攻擊行為。
攻擊鏈
1. 魚叉式釣魚:透過夾帶惡意的ADS(Alternate Data Streams)payload的RAR檔案誘使受害者點擊。
2. 目錄遍歷漏洞:RAR檔被執行後,被執行的ADS payloads透過 ..\ 的字串組合在特定路徑底下(%TEMP%、%LOCALAPPDATA%、windows startup folder等)植入惡意檔案。
3. 部署payload和執行後續攻擊行為:將 .lnk檔放入windows startup folder來修改註冊表或執行惡意檔案。
a. Mythic Agent 攻擊鏈
Updater.lnk在註冊表新增 HKCU\SOFTWARE\Classes\CLSID\{1299CF18-C4F5-4B6A-BB0F-2299F0398E27}\InprocServer32 並設為 %TEMP%\msedge.dll,進行COM劫持。當EXE檔試圖載入msedge.dll時便會載入該惡意DLL檔並執行Mythic Agent的dynamichttp shellcode、連線到C&C https[:]//srlaptop[.]com/s/0.7.8/clarity.js)。
SnipBot變體 攻擊鏈
Display.lnk會執行一個被修改過的PuTTY CAC(%LOCALAPPDATA%\ApbxHelper.exe)並使用其檔名作為金鑰解密取得一段看似是SnipBot變種的shellcode。該shellcode會檢查 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\ 的值,在確認近期有至少有69個檔案被開啟過才會執行並以註冊表項目名稱為金鑰解密下一階段的shellcode。以註冊表項目名稱為金鑰解密的這一段shellcode會連線至C&C(https[:]//campanole[.]com/TOfrPOseJKZ)下載下一階段的惡意檔案。
b. MeltingClaw 攻擊鏈
Settings.lnk會執行RustyClaw(%LOCALAPPDATA%\Complaint.exe),連線到https[:]//melamorri[.]com/iEZGPctehTZ下載並執行MeltingClaw(install_module_x64.dll),接著連線到C&C(https[:]//gohazeldale[.]com)。
受影響版本
WinRAR 7.12以下(含):WinRAR (Windows)、 RAR and UnRAR (Windows)、UnRAR.dll and portable UnRAR (Windows)
※備註:linux/unix/android版不受影響
結語
WinRAR是個被廣泛使用的壓縮軟體,有使用該軟體的使用者都應盡速將WinRAR更新至最新版本(v7.13)以避免受CVE-2025-8088影響。除了更新軟體、安裝防毒等措施之外,我們更應該加強資安意識,警惕潛在的釣魚郵件、避免下載與執行可能包含惡意檔案或payload的附加檔案,才能從根本降低受到這些漏洞與攻擊影響的機會。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com
參考資料:
1. ESET CVE-2025-8088報告(https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/#the-discovery-of-cve-2025-8088)
2. RomCom Group(https://malpedia.caad.fkie.fraunhofer.de/actor/romcom)
3. Path Traveral(https://owasp.org/www-community/attacks/Path_Traversal)
4. ADS(https://owasp.org/www-community/attacks/Windows_alternate_data_stream)
5. Com Hijack(https://blog.virustotal.com/2024/03/com-objects-hijacking.html)
