1 月 28 日消息,谷歌威胁情报小组(GTIG)携手安全公司 ESET 发布报告,现有证据表明全球多个黑客组织正疯狂利用 WinRAR 的高危漏洞(CVE-2025-8088)。
援引报告内容,谷歌威胁情报小组指出,利用该漏洞的攻击活动最早可追溯至 2025 年 7 月 18 日,且至今仍未停歇。ESET 的研究人员早在 2025 年 8 月初就已发现该漏洞,并指出亲俄黑客组织 RomCom 当时已将其用于零日攻击。
WinRAR 已于 2025 年 7 月 30 日发布补丁,并敦促 WinRAR 用户尽快升级到 7.13 及更高版本,以规避安全风险。
该漏洞的核心机制在于利用 Windows 系统的“备用数据流”(ADS)特性进行路径遍历攻击。谷歌研究人员解释称,攻击者通常将恶意文件隐藏在压缩包内诱饵文件(如 PDF 文档)的 ADS 中,用户在查看诱饵文档后,WinRAR 会在后台通过目录遍历将恶意载荷(如 LNK、HTA、BAT 或脚本文件)解压并释放到任意位置。
攻击者最常选择的目标是 Windows 启动文件夹,这样一来,恶意脚本就会在用户下次登录系统时自动运行,从而实现持久化攻击。
谷歌的监测数据显示,多个黑客组织正积极利用该漏洞发起攻击。其中,UNC4895(RomCom)通过鱼叉式网络钓鱼向军事单位投放 Snipbot 恶意软件;APT44 和 Turla 则利用诱饵文件分发后续下载器和恶意软件套件。
此外,出于经济动机的犯罪分子也加入了这场狂欢,他们利用该漏洞分发 XWorm、AsyncRAT 等远程访问工具及银行窃密插件,甚至部署由 Telegram 机器人控制的后门程序。
相关阅读:
《Win10 / Win11 用户请升级 7.13 版:WinRAR 高危漏洞攻击链细节首度披露,可植入多种恶意软件》
《Win10 / Win11 用户请升级 7.13 版:WinRAR 修复高危漏洞,已被黑客利用植入恶意文件》
《WinRAR 高危漏洞曝光:攻击者可远程执行任意代码》
