WinRAR零時差漏洞遭RomCom駭客組織利用 https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12122 2025 / 08 / 12 資安研究機構ESET發現一個WinRAR零時差漏洞：CVE-2025-8088，該漏洞已被俄羅斯駭客 組織RomCom在攻擊活動中利用。此路徑遍歷漏洞允許攻擊者透過特製壓縮檔，將惡意檔案 寫入使用者系統的指定路徑。 CVE-2025-8088屬於路徑遍歷類型漏洞，影響WinRAR 7.12及之前版本。攻擊者透過替代資 料流機制實現路徑遍歷攻擊。官方已在WinRAR 7.13版本中修復此漏洞。 攻擊活動分析 根據ESET遙測數據，攻擊活動發生在2025年7月18日至7月21日期間。攻擊目標包括歐洲及 加拿大地區的金融、製造、國防及物流等產業的企業組織。 攻擊者使用魚叉式釣魚郵件，偽裝成求職履歷等文件來引誘目標開啟惡意壓縮檔。這些壓 縮檔包含名為msedge.dll的惡意動態連結庫，利用漏洞將惡意程式寫入Windows啟動資料 夾，使惡意程式在使用者下次登入時自動執行。 RomCom駭客組織亦稱Storm-0978、Tropical Scorpius或UNC2596，是一個與俄羅斯相關的 進階持續性威脅組織。該組織同時進行網路間諜活動與網路犯罪，過去曾多次使用零時差 漏洞進行攻擊。 此次攻擊中使用的惡意軟體包括SnipBot變種、RustyClaw及Mythic代理程式。這些工具具 備執行遠端命令與下載額外模組的功能。 ESET確認目標組織未實際遭到入侵，但攻擊者對目標的選擇顯示出明確的規劃。攻擊目標 的產業類型及地理分佈符合俄羅斯國家級駭客組織的關注範圍。 防護措施建議 使用者應將WinRAR升級至7.13版本或更新版本。由於WinRAR缺乏自動更新功能，需要從官 方網站win-rar.com手動下載安裝。此漏洞同時影響Windows版本的RAR命令列工具、 UnRAR.dll及可攜式UnRAR原始碼。 組織應強化電子郵件安全機制，對壓縮檔附件進行檢測。同時建議對員工進行資安教育， 提醒謹慎處理來源不明的檔案。IT管理人員可監控Windows啟動資料夾的檔案變化，相關 路徑包括： %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp 網路監控方面，資安人員應關注異常的外連通訊活動。建議WinRAR使用者檢查目前使用版 本並進行更新。如需協助評估相關風險，可諮詢專業資安服務提供者。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.66.107.120 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1754998240.A.1C8.html