Google 威脅情報團隊(Threat Intelligence Group,GTIG)與 Mandiant 研究人員近日發出警告:
WinRAR 重大漏洞 CVE-2025-8088 雖已修補超過半年,仍被國家級駭客組織與金融犯罪集團廣泛利用。由於 WinRAR 擁有數億用戶卻缺乏自動更新機制,許多使用者至今仍暴露在風險之中。
漏洞技術原理與攻擊手法
CVE-2025-8088 是一個
路徑遍歷(path traversal)漏洞,攻擊者可透過精心製作的 RAR 壓縮檔來利用此弱點。Mandiant 研究人員指出,攻擊鏈通常將惡意檔案隱藏在壓縮檔內誘餌檔案的替代資料流(Alternate Data Stream,ADS)中。
當使用者開啟壓縮檔時,表面上看到的是正常的 PDF 文件等誘餌內容,但惡意 ADS 內容會被解壓至指定的遍歷路徑位置,並在使用者下次登入時自動執行。
這種攻擊手法的危險之處在於,惡意檔案會被放置到系統的啟動資料夾中,並在使用者下次登入時自動執行。駭客因此獲得持久性的後門存取權限,可完全控制受害者的電腦。
俄羅斯與中國駭客組織積極利用
自 2025 年 7 月該漏洞首次被發現以來,多個進階持續性威脅(APT)組織已將其納入攻擊工具庫。
與俄羅斯相關的 APT 組織包括
Sandworm(又稱 APT44)、
Turla(又稱 Secret Blizzard)以及
TEMP.Armageddon(又稱 CARPATHIAN),均以烏克蘭政府與軍事單位為目標進行網路間諜活動。其中 Turla 使用無人機相關的誘餌內容來投放 STOCKSTAY 惡意軟體;TEMP.Armageddon 則利用此漏洞散布 HTA 下載器檔案。
與中國相關的 APT 組織也利用此漏洞,投放 BAT 批次檔來安裝 POISONIVY(又稱 Darkmoon)遠端存取木馬(RAT)。
RomCom 組織(又稱 Storm-0978 或 UNC4895)的攻擊活動特別值得關注。該組織同時追求政府機密情報與金融利益,經常投放 Snipbot 病毒變種。研究人員觀察到,早在 2025 年 7 月與 8 月,RomCom 便已開始利用 CVE-2025-8088。
延伸閱讀:WinRAR零時差漏洞遭RomCom駭客組織利用
金融犯罪集團廣泛採用
除了國家級駭客外,金融動機的犯罪集團也積極利用此漏洞。在巴西,攻擊者散布惡意 Chrome 擴充套件來竊取銀行憑證,目標鎖定兩家巴西銀行的網站使用者。拉丁美洲的旅宿與旅遊業則遭受假冒飯店訂房郵件的攻擊。研究人員還發現針對印尼實體的攻擊活動,駭客透過 Dropbox 連結安裝可經由 Telegram 控制的後門程式。
從 2025 年 12 月至 2026 年 1 月,網路犯罪分子持續散布商品化的 RAT 與資訊竊取程式,攻擊活動迄今仍未停止。
地下漏洞市場降低攻擊門檻
這些攻擊得以廣泛進行的關鍵因素,是蓬勃發展的地下漏洞交易市場。研究人員指出,RomCom 與 Paper Werewolf(又稱 Goffee)攻擊組織可能從同一供應商取得漏洞利用程式,該供應商在暗網論壇上以「zeroplayer」身分活動。
GTIG 報告揭露,zeroplayer 的產品組合包括可攻破 Microsoft Office 的工具(售價 30 萬美元)以及可停用防毒軟體的「終止開關」(售價 8 萬美元)。這類即用型漏洞利用工具的出現,大幅降低了攻擊門檻。即使技術能力較低的犯罪集團,也能輕易發動進階攻擊。
Mandiant 研究人員強調,zeroplayer 這類供應商讓不同動機的勒索軟體部署或國家級情報蒐集的威脅行為者,都能取得多樣化的攻擊能力。
防護建議
WinRAR 使用者應立即採取以下措施:
- 立即更新至 WinRAR 7.13 或更新版本,該版本已修補 CVE-2025-8088 及另一個已遭利用的漏洞 CVE-2025-6218
- 手動下載新版本並覆蓋安裝,因為 WinRAR 不具備自動更新功能
- 提高警覺,避免開啟來路不明的 RAR 壓縮檔
- 即使壓縮檔看似包含正常文件,仍應謹慎處理
研究人員指出,保持軟體更新是阻擋這些威脅的最簡單方法。由於 WinRAR 擁有龐大的使用者基數,加上漏洞利用工具在地下市場廣泛流通,未修補系統面臨的風險極高。
本文轉載自 HelpNetSecurity、Hackread。