WinRAR漏洞被APT-C-08组织用于攻击政府机构
知名黑客组织APT-C-08(又名BITTER)近期武器化了一个关键的WinRAR目录遍历漏洞(CVE-2025-6218),对南亚地区的政府组织发起复杂攻击。这一进展标志着该威胁行为体能力的令人担忧的演变,该组织利用这个易于利用的缺陷渗透敏感系统并窃取机密信息。
APT-C-08组织背景
APT-C-08是一个高级持续性威胁组织,已确认与南亚政府实体有关联。该组织持续针对南亚及邻近地区的政府、海外机构、大学和军工复合体。他们的主要目标仍然是窃取敏感信息,受到强烈政治动机的驱动。该组织展示了复杂的攻击技术,采用多样化的攻击向量,并专门研究社会工程学策略,操纵受害者打开恶意文档并下载有害负载。
WinRAR漏洞分析
安全研究人员最近捕获的样本显示APT-C-08正在利用CVE-2025-6218,这是一个影响WinRAR 7.11及更早版本的目录遍历漏洞。
| 属性 | 详情 |
|---|---|
| MD5哈希值 | f6f2fdc38cd61d8d9e8cd35244585967 |
| 文件名 | Provision of Information for Sectoral for AJK.rar |
| 文件大小 | 51.4 KB (52,674字节) |
| 描述 | 利用漏洞 |
| 相关CVE | CVE-2025-6218 |
这是首次观察到该组织武器化此特定漏洞的实例。该漏洞的低利用难度,加上用户普遍未能更新WinRAR安装,为威胁行为者创造了理想的攻击面。考虑到此漏洞利用的严重性和可访问性,安全团队优先公开披露以促进快速威胁缓解。
攻击技术细节
攻击从一个名为"Provision of Information for Sectoral for AJK.rar"(MD5:f6f2fdc38cd61d8d9e8cd35244585967)的武器化RAR档案开始。这个51.4 KB的压缩文件利用CVE-2025-6218漏洞突破预期的文件系统边界,使攻击者能够将恶意文件部署到未经授权的目录位置。
该漏洞源于文件提取期间的不正确路径规范化。WinRAR的提取过程检查路径分隔符前的字符,特别查找空格或点。然而,开发人员忽略了路径在点点表示法后包含空格的情况。攻击者通过构造特殊设计的路径(如"\.. \")来利用此疏忽,绕过安全检查并启用目录遍历。
为了最大化利用成功率,威胁行为者在档案中嵌入了两个恶意文件路径:
- “/.. /.. /AppData/Roaming/Microsoft/Templates/Normal.dotm”
- “/.. /.. /.. /AppData/Roaming/Microsoft/Templates/Normal.dotm”
实现成功利用的关键细节是在"..“表示法后策略性放置的空格。
攻击链分析
当受害者使用易受攻击的WinRAR版本提取恶意档案时,攻击会将武器化的Normal.dotm文件(MD5:4bedd8e2b66cc7d64b293493ef5b8942)部署到Microsoft Word模板目录C:\Users$$username]\AppData\Roaming\Microsoft\Templates。
这个19.9 KB的启用宏的模板在受害者打开系统上的任何Word文档时自动加载,确保持久的恶意代码执行,无需额外的用户交互。
恶意负载功能
部署的Normal.dotm包含旨在建立远程连接并下载其他攻击组件的恶意宏。该宏执行网络命令将远程目录映射到本地系统,特别针对并执行来自攻击者控制基础设施的"winnsc.exe”。
winnsc.exe下载器通过收集系统侦察数据(包括主机名、用户名和操作系统版本)来操作。此信息使用HTTP POST请求传输到命令控制服务器teamlogin.esanojinjasvc[.]com。根据服务器响应,恶意软件检索并执行后续负载,包括通常与APT-C-08操作相关的C#特洛伊木马。
攻击变体
安全研究人员发现了使用名为"Weekly AI Article.rar"(MD5:84128d40db28e8ee16215877d4c4b64a)的压缩文件的第二个攻击变体。这个596 KB的档案采用相同的利用技术,部署另一个恶意Normal.dotm(MD5:f8b237ca925daa3db8699faa05007f12),从tapeqcqoptions[.]com下载并执行命令。
影响与建议
APT-C-08采用CVE-2025-6218证明了该组织的持续演变和技术复杂性。目录遍历利用与基于模板的持久执行的结合创建了一个高度有效的攻击链,能够规避传统安全控制。各组织,特别是南亚的政府实体,面临这些活动带来的更高风险。
安全团队必须优先将WinRAR更新到修补CVE-2025-6218的版本。用户在处理来自未知来源的压缩文件,特别是通过电子邮件或文件共享平台传递的RAR档案时,应格外小心。
实施强大的电子邮件安全过滤、端点检测和响应解决方案以及用户安全意识培训可以显著减少成功的利用尝试。
通过Microsoft Word模板修改实现的此攻击的持久性要求组织监控Templates目录的未经授权修改,并实施应用程序允许列表以防止未经授权的宏执行。对关键目录的定期安全审计和增强的日志记录可以在攻击者实现其间谍目标之前检测到入侵指标。