WinRAR零日漏洞攻击的分析详解

研究人员发布了一份报告，详细阐述了俄罗斯RomCom黑客组织如何利用近期被追踪为CVE-2025-8088的WinRAR路径遍历漏洞，在零日攻击中投放不同的恶意软件有效载荷。

RomCom（又称Storm-0978和Tropical Scorpius）是一个俄罗斯网络间谍威胁组织，擅长利用零日漏洞进行网络攻击，涉及Firefox（CVE-2024-9680、CVE-2024-49039）和微软Office（CVE-2023-36884）等软件。

2025年7月18日，ESET发现RomCom正在利用WinRAR中一个未公开的路径遍历零日漏洞，并通知了这款热门压缩工具的开发团队。

ESET本周发布的新报告解释道：“通过对漏洞利用程序的分析，我们发现了这一漏洞并定为CVE-2025-8088的编号，这是一个借助备用数据流实现的路径遍历漏洞。WinRAR已于2025年7月30日发布了修复版本。”

2025年7月30日，WinRAR发布了针对该漏洞（编号CVE-2025-8088）的修复程序，版本为7.13。不过，随附的公告中并未提及该漏洞存在被主动利用的情况。据悉，当用户打开特制的压缩包时，该漏洞会被用于将危险的可执行文件提取到自动运行路径。

该漏洞与一个月前披露的另一个WinRAR路径遍历漏洞（追踪编号CVE-2025-6218）相似。

ESET的报告称，恶意的RAR压缩包包含多个隐藏的ADS（备用数据流）有效载荷，这些载荷用于隐藏恶意的DLL文件和Windows快捷方式，当目标用户打开压缩包时，这些文件会被提取到攻击者指定的文件夹中。

许多ADS条目指向无效路径，ESET认为，这些条目是被故意添加的，目的是生成看似无害的WinRAR警告，同时隐藏文件列表深处存在的恶意DLL、EXE和LNK文件路径。

恶意RAR存档（顶部）和解压过程中的错误（底部）

可执行文件被放置在%TEMP%或%LOCALAPPDATA%目录中，而Windows快捷方式（LNK文件）则被放入Windows启动目录，以便在用户后续登录时执行。

ESET记录了三条不同的攻击链，均会投放RomCom组织已知的恶意软件家族：

·Mythic Agent：Updater.lnk会将msedge.dll添加到一个COM劫持注册表位置，该文件会解密AES shellcode，且仅当系统域与硬编码的值匹配时才会运行。该shellcode会启动Mythic代理，从而实现命令与控制通信、命令执行以及有效载荷投放。

·SnipBot：Display Settings.lnk会运行ApbxHelper.exe，这是一个经过修改的PuTTY CAC，带有无效证书。它会先检查是否有不少于69个最近打开的文档，之后再解密shellcode，从攻击者的服务器下载额外的有效载荷。

·MeltingClaw：Settings.lnk会启动Complaint.exe（即RustyClaw），该程序会下载一个MeltingClaw DLL，进而从攻击者的基础设施获取并执行更多恶意模块。

Mythic Agent感染链

俄罗斯网络安全公司Bi.Zone也报告称，他们观察到一个单独的活动群，被其追踪为“Paper Werewolf”，该集群在攻击中同样利用了CVE-2025-8088和CVE-2025-6218这两个漏洞。

目前，ESET已在其GitHub仓库中分享了RomCom组织最新攻击的完整入侵指标。

尽管微软在2023年为Windows系统添加了原生的RAR支持功能，但该功能仅在较新的版本中可用，且其功能远不如WinRAR全面。因此，许多高级用户和组织仍依赖WinRAR来管理压缩文件，这使其成为黑客的主要攻击目标。

RarLab表示，他们并不了解CVE-2025-8088漏洞被利用的具体细节，也没有收到任何用户报告，ESET仅向他们分享了开发补丁所需的技术信息。WinRAR没有自动更新功能，因此用户需要从官网手动下载并安装最新版本。