高危WinRAR零日漏洞遭两黑客组织持续利用数周

广泛使用的WinRAR文件压缩软件中存在一个高危零日漏洞，目前正被两个俄罗斯网络犯罪组织积极利用。这些攻击通过在钓鱼邮件附件中植入恶意压缩包，在目标计算机打开时植入后门，部分攻击还采用了个性化手段。

安全公司ESET周一表示，最早在7月18日检测到这些攻击，当时其遥测系统发现异常目录路径中的文件。到7月24日，ESET确定该行为与WinRAR中一个未知漏洞的利用有关。WinRAR是一款文件压缩工具，安装量约5亿。ESET当天通知了WinRAR开发者，六天后发布了修复补丁。

严重漏洞与Windows特权

该漏洞似乎拥有超级Windows权限。它滥用了替代数据流（alternate data streams）这一Windows特性，该特性允许以不同方式表示同一文件路径。漏洞利用此特性触发了一个此前未知的路径遍历缺陷，导致WinRAR将恶意可执行文件植入攻击者选择的文件路径%TEMP%和%LOCALAPPDATA%，这些路径因能执行代码通常被Windows设为禁区。

ESET表示已确定攻击来自RomCom，这是其对一个出于经济动机、在俄罗斯活动的犯罪组织的追踪代号。这个资源充足的组织多年来一直活跃，展示了其获取漏洞利用和执行相当复杂技术的能力。该组织使用的零日漏洞现被追踪为CVE-2025-8088。

“通过利用WinRAR中一个此前未知的零日漏洞，RomCom组织表明其愿意在网络行动中投入大量精力和资源，”ESET的Anton Cherepanov、Peter Strýček和Damien Schaeffer写道。“这至少是RomCom第三次在野外使用零日漏洞，突显了其持续获取和使用漏洞进行定向攻击的重点。”

双重攻击来源

奇怪的是，RomCom并非唯一利用CVE-2025-8088的组织。根据俄罗斯安全公司Bi.ZONE，同一漏洞正被其追踪为Paper Werewolf的组织积极利用。该组织也被称为GOFFEE，同时还在利用CVE-2025-6218，这是另一个高危WinRAR漏洞，在CVE-2025-8088被修补前五周已收到修复。

BI.ZONE表示，Paper Werewolf在7月和8月通过冒充全俄研究所员工的电子邮件附件传播漏洞利用。最终目标是安装恶意软件，使Paper Werewolf能够访问受感染系统。

虽然ESET和BI.ZONE的发现相互独立，但尚不清楚利用这些漏洞的组织是否相关联或从同一来源获取知识。BI.ZONE推测Paper Werewolf可能是在暗网犯罪论坛上获取了这些漏洞。

攻击执行链

ESET表示观察到的攻击遵循三条执行链。一条链针对特定组织，执行隐藏在压缩包中的恶意DLL文件，使用称为COM劫持的方法，导致其被某些应用程序（如Microsoft Edge）执行。过程如下：

压缩包中的DLL文件解密嵌入式shellcode，然后检索当前机器的域名并与硬编码值比较。当两者匹配时，shellcode安装Mythic Agent利用框架的自定义实例。

第二条链运行恶意Windows可执行文件，传递最终有效载荷安装SnipBot，这是已知的RomCom恶意软件。它通过在被打开在空虚拟机或沙箱中时终止来阻止一些取证分析尝试，这是研究人员常见的做法。第三条链利用另外两个已知的RomCom恶意软件，一个称为RustyClaw，另一个称为Melting Claw。

历史漏洞与持续威胁

WinRAR漏洞此前曾被利用来安装恶意软件。2019年的一个代码执行漏洞在修补后不久就被广泛利用。2023年，一个WinRAR零日漏洞在被检测前被利用了四个多月。

除了庞大的用户群外，WinRAR成为传播恶意软件的完美载体，因为该工具没有自动安装新更新的机制。这意味着用户必须主动自行下载和安装补丁。此外，ESET表示命令行工具UnRAR.dll的Windows版本和便携式UnRAR源代码也易受攻击。人们应避免使用7.13之前的所有WinRAR版本，在本文发布时，7.13是最新版本。它修复了所有已知漏洞，但鉴于WinRAR零日漏洞似乎源源不断，这并不能提供太多保证。