今年6月軟體開發業者Rarlab發布7.12版WinRAR,修補路徑遍歷漏洞CVE-2025-6218(CVSS風險為7.8分),近期美國網路安全暨基礎設施安全局(CISA)警告此漏洞已被用於實際攻擊,列入已遭利用的漏洞名單(KEV),使得此漏洞再度受到關注。
12月9日CISA發布公告,將兩個漏洞加入KEV,其中一個就是CVE-2025-6218,並要求聯邦機構必須在12月30日前完成修補。此路徑遍歷漏洞有可能讓攻擊者執行任意程式碼,影響Windows作業系統相關版本,不過,利用漏洞存在必要條件,那就是需經由使用者操作如開啟或解壓縮來源不明的壓縮檔案,才能被濫用,並非自動觸發型攻擊。雖然CISA未說明漏洞如何遭到利用,但根據多家資安業者的觀察,已有數個駭客組織將其用於實際攻擊。
最早警告已被用於攻擊行動的是俄羅斯資安公司BI.Zone,他們於8月指出,被稱作Paper Werewolf或Goffee的駭客發起魚叉式釣魚活動,駭客聲稱是某個俄羅斯研究所的員工,寄送帶有RAR檔附件的電子郵件,當時他們就利用CVE-2025-6218,以及後來被修補的另一個漏洞CVE-2025-8088。
後來整合數位風險護廠商Foresiet、印度資安公司SecPod,以及中國資安公司360數字安全發現,被稱作APT-C-08或Bitter的駭客組織,將CVE-2025-6218用於攻擊南亞國家的政府機構,藉由RAR檔挾帶特定的指令碼或惡意Word範本檔案,一旦使用者開啟,駭客的作案工具就會被秘密地存放於敏感的系統資料夾,其中包含Windows的啟動資料夾。
當使用者登入電腦,或是啟動Word的時候,惡意檔案就會自動執行,從C2伺服器下載有效酬載,其中包含ZxxZ、WmRAT,以及MiyaRAT等遠端存取木馬(RAT)。
值得留意的是,俄羅斯駭客也傳出加入漏洞利用的行列。資安研究員Robin發現,被稱為Gamaredon、Primitive Bear,以及Armageddon的駭客組織,用於攻擊烏克蘭企業組織,他們傳送的RAR檔案通常會挾帶假的PDF檔案,以及命名方式相當怪異的HTML應用程式(HTA)檔案。一旦使用者開啟,WinRAR就會將HTA檔解壓縮到啟動資料夾,電腦在重開機後,內嵌於HTA檔的VBScript指令碼,就會在受害電腦下載其他惡意軟體。Robin強調,利用CVE-2025-6218只需極少量的使用者互動,大部分情況只需誘騙他們開啟惡意RAR檔,就能達到目的。
對於指令碼執行的流程,首先攻擊者會建立WScript.Shell執行個體(instance),然後定義有效酬載的命令,透過寄生攻擊(LOLBin)手法,濫用mshta.exe存取特定URL取得有效酬載並執行,這些酬載可能是HTA、VBS,或是EXE檔案,最終在受害電腦植入模組化後門Pteranodon或GammaLoad。
熱門新聞
2025-12-12
2025-12-16
2025-12-15
2025-12-15
2025-12-15
2025-12-15
2025-12-16
2025-12-15