文/安托特报员
WinRAR 的一次“老问题”再次被证实会在现实攻击里翻车。安全厂商指出,俄方黑客组织正利用 WinRAR 路径遍历漏洞 CVE-2025-8088,针对乌克兰的政府、军方与相关单位展开入侵。
这起事件的背景要从去年 7 月说起。漏洞修补由 Rarlab 推出,但由于 WinRAR 缺少自动更新机制,很多用户并未手动升级到新版。正因如此,漏洞利用并没有就此消失,至今仍被多支俄中等国家级团体纳入武器库。如今又有新的迹象表明:CVE-2025-8088 已被投放到更明确、更“带任务”的攻击行动中。
根据发现的活动,至少有两组俄方组织在不同时间段接力使用该漏洞。其一是 Gamaredon(别名 UAC-0010、Shuckworm、Earth Dahu)。他们主要通过漏洞向受害者投递恶意 HTA 文件;但手法并不止于此。研究还观察到攻击者可能在目标设备的启动相关位置写入 VBS 或 VBE 脚本,并借助特定的 Cloudflare Tunnel 环境去截取恶意 HTA,再进一步触发执行。值得注意的是,这类利用活动最早可追溯到 2025 年 9 月,说明并非临时起意。
另一组是 UAC-0226(Shadow-Earth-066)。该组织的行动时间线更“贴近现在”:从今年 2 月开始,他们通过 CVE-2025-8088 散布一类窃取凭证/信息的恶意软件 GiftedCrook。也就是说,同一个 WinRAR 漏洞被用来承载不同载荷,既能做投递,也能做落地与后续窃取。
更关键的警讯在于持续性。相关利用活动至少延续到今年 4 月,意味着防线若仍停留在“已经修过就没事”的假设上,仍可能让未升级的终端成为入侵入口。
安托特报员提醒:企业与个人用户应尽快核对 WinRAR 版本,完成补丁升级;对来源不明的压缩包、HTA/脚本文件保持严格拦截与审计,并同步检查是否存在异常启动目录写入、可疑脚本执行与可疑隧道连接等行为迹象。
