去年7月底,知名壓縮軟體WinRAR開發商Rarlab發布7.13版,修補高風險路徑遍歷漏洞CVE-2025-8088,CVSS風險評為8.8分(4.0版為8.4分),最早通報漏洞的資安業者 ESET 指出,發現漏洞的起因,是俄羅斯駭客組織RomCom已實際將其用於攻擊行動,目標涵蓋歐洲與加拿大的金融、製造、國防及物流產業。
後續,俄羅斯資安公司BI.Zone也觀察到另一個俄羅斯駭客組織Paper Werewolf(又稱 Goffee),疑似從駭客論壇取得漏洞利用方式後投入實戰。隨著漏洞細節在地下社群擴散,越來越多駭客組織加入濫用行列,使得攻擊規模持續擴大。
Google威脅情報團隊(GTIG)進一步指出,他們已掌握多組國家級駭客組織正積極利用CVE-2025-8088,同時也觀察到以經濟利益為動機的犯罪集團投入漏洞利用。攻擊者普遍透過該漏洞,在受害系統中取得初始存取權限,並投放多種惡意酬載,其手法高度一致,主要是將惡意檔案寫入Windows啟動資料夾(Startup Folder),以確保惡意程式能在系統重新啟動後持續執行。
在國家級威脅方面,GTIG 指出俄羅斯駭客組織為主要勢力,攻擊重心多半鎖定烏克蘭軍方與政府單位,並以地緣政治議題作為社交工程誘餌。相關組織包括RomCom(UNC4895、Cigar)、APT44(FrozenBarents)、TEMP.Armageddon,以及Turla(Summit)。其中,RomCom散布惡意程式被稱為NestPacker或Snipbot;APT44透過漏洞投放惡意LNK檔案;TEMP.Armageddon則將HTA檔案置入啟動資料夾,以下載第二階段工具;Turla則利用漏洞散布惡意軟體StockStay。GTIG特別警告,TEMP.Armageddon的相關攻擊行動至今仍在進行中。
除了俄羅斯駭客外,GTIG也揭露一個未公開名稱的中國駭客組織同樣投入漏洞利用,該組織會將BAT批次檔寫入啟動資料夾,進一步下載並執行木馬程式PoisonIvy。
在以金錢為動機的攻擊活動中,GTIG觀察到多個犯罪集團利用漏洞部署RAT木馬與竊資惡意程式。其中一個駭客組織鎖定印尼企業,將CMD檔投放至啟動資料夾;另一組專門針對旅館與旅遊業者,以訂房相關主題為誘餌,散布XWorm與AsyncRAT;此外,也有攻擊團隊鎖定巴西銀行客戶,散布惡意Chrome瀏覽器擴充功能,於特定銀行網頁中注入JavaScript,顯示釣魚內容以竊取使用者憑證。
由於各駭客組織的利用手法高度一致,GTIG認為這與漏洞在地下生態圈被「商品化」高度相關。報告中提到,漏洞掮客zeroplayer曾於今年7月宣稱握有CVE-2025-8088的漏洞利用工具,顯示該漏洞可能早已在黑市中流通。
GTIG最後呼籲,企業與一般用戶儘速將WinRAR更新至最新版本,防止攻擊者持續利用已知漏洞取得系統存取權限。
熱門新聞
2026-01-27
2026-01-26
2026-01-27
2026-01-27
2026-01-26
2026-01-27