执行摘要
零日漏洞对网络安全构成严重威胁。ESET 研究人员近期发现的 WinRAR 零日漏洞(CVE-2025-8088),已引发业界高度关注。该漏洞属于路径遍历漏洞,攻击者可利用 Windows 备用数据流(ADS)技术,在 RAR 归档文件中隐藏恶意文件,用户解压操作会导致这些文件被部署至系统关键位置,风险等级极高。
俄罗斯黑客组织 RomCom(又称 Storm-0978 或 Tropical Scorpius)已将该漏洞用于实际攻击,这是该组织第三次被证实利用重大零日漏洞,其技术能力与攻击意图显著。
该漏洞于 2025 年 7 月 18 日被发现后,WinRAR 开发团队迅速响应,于 7 月 30 日发布修复版本 7.13。目前攻击主要针对欧洲和加拿大的金融、制造、国防及物流行业,通过钓鱼邮件传播含恶意 RAR 文件的伪装内容(如简历),成功利用后会部署 Mythic 代理、SnipBot 变种及 RustyClaw 等后门程序,实现敏感信息窃取与系统操控。
本报告将深入剖析漏洞技术原理、攻击链、攻击者背景及相关攻击技术,并扩展分析相关攻击组织及 WinRAR 其他漏洞,为组织应对此类威胁提供技术支撑。
CVE-2025-8088 漏洞技术深度剖析
漏洞概述
CVE-2025-8088 为目录遍历漏洞,存在于 WinRAR 7.13 之前的所有 Windows 平台版本中,影响 RAR 解压组件(含 UnRAR 工具及相关动态链接库)。其核心危害在于允许攻击者操控文件解压路径,绕过用户指定存储位置,将恶意内容写入 Windows 启动目录等系统关键区域。据国家漏洞数据库(NVD)信息,该漏洞可导致攻击者执行任意代码,危害程度达到高危级别。
漏洞原理与利用机制
攻击者通过构造特制 RAR 文件实施攻击:表面包含良性文件,同时在备用数据流中隐藏恶意文件,并通过路径遍历技术指向系统关键目录。Windows NTFS 文件系统支持的 ADS 特性,允许在文件中存储附加数据且不影响主内容,为恶意文件提供了隐蔽存储载体。
当受害者解压该 RAR 文件时,WinRAR 仅展示正常文件内容,因漏洞导致路径验证机制失效,恶意文件被部署至系统。其中 LNK 文件通常写入 Windows 启动目录,DLL/EXE 文件则写入临时目录,使恶意代码建立持久性机制,用户下次登录时自动执行并与 C2 服务器建立连接。
为增强隐蔽性,攻击者会添加含虚拟数据的无效路径 ADS,充斥于 WinRAR 界面中,需用户滚动查看才能发现可疑路径,显著降低被察觉概率。
攻击链分析
ESET 研究人员识别出三种不同执行链,分别部署不同类型恶意软件:
Mythic 代理执行链:恶意 LNK 文件(Updater.lnk)添加注册表值指向恶意 DLL,通过 COM 劫持触发执行。恶意 DLL 解密并执行嵌入的 shellcode,利用 dynamichttp C2 配置文件与命令控制服务器通信,实现远程操控。
SnipBot 变种执行链:恶意 LNK 文件(Display Settings.lnk)运行 ApbxHelper.exe(修改版 PuTTY CAC,使用无效代码签名证书),解密并执行 RomCom 专属 SnipBot 变种 shellcode。该变种具备反分析能力,通过检查系统最近打开文档数量判断是否处于分析环境,进而采取规避措施。
MeltingClaw 执行链:恶意 LNK 文件(Settings.lnk)启动 Complaint.exe(RustyClaw 下载器,使用不同无效代码签名证书),下载并执行额外有效载荷,与 RomCom 的 MeltingClaw 恶意软件特征匹配,实现攻击范围扩展。
失陷指标(IOCs)
ESET 研究人员捕获的与此次攻击相关的主要入侵指标如下:
文件哈希
371A5B8BA86FBCAB80D4E0087D2AA0D8FFDDC70B - Adverse_Effect_Medical_Records_2025.rar
D43F49E6A586658B5422EDC647075FFD405D6741 - cv_submission.rar
F77DBA76010A9988C9CEB8E420C96AEBC071B889 - Eli_Rosenfeld_CV2 - Copy (10).rar
AE687BEF963CB30A3788E34CC18046F54C41FFBA - msedge.dll (Mythic agent)
AB79081D0E26EA278D3D45DA247335A545D0512E - Complaint.exe (RustyClaw)
1AEA26A2E2A7711F89D06165E676E11769E2FD68 - ApbxHelper.exe (SnipBot variant)
网络指标
162.19.175 [.] 44 - gohazeldale [.] com - MeltingClaw C&C 服务器
194.36.209 [.] 127 - srlaptop [.] com - Mythic 代理 C&C 服务器
85.158.108 [.] 62 - melamorri [.] com - RustyClaw C&C 服务器
185.173.235 [.] 134 - campanole [.] com - SnipBot 变种 C&C 服务器
组织应将上述指标纳入安全监控系统,用于检测潜在入侵活动。
恶意软件分析
此次攻击中 RomCom 部署的三类恶意软件特征如下:
Mythic 代理:高级后门程序,采用 dynamichttp C2 配置文件与控制服务器通信,具备目标识别能力 —— 通过比对当前机器域名与硬编码值,不匹配则退出,针对性与隐蔽性极强。
SnipBot 变种:RomCom 定制恶意软件,集成反分析技术(如检查注册表中最近打开文档数量判断分析环境)。2024 年出现的 SingleCamper 变种可将系统信息发送至黑客服务器,用于评估被攻陷系统的利用价值。
MeltingClaw/RustyClaw:基于 Rust 语言开发的下载器,负责获取并执行额外有效载荷,引入更多恶意程序以扩大攻击范围与控制力度。
扩展分析:RomCom 组织深度剖析
组织背景与历史
RomCom 是与俄罗斯关联的网络犯罪组织,别名包括 Storm-0978、Tropical Scorpius 及 UNC2596。自 2022 年起活跃,同时开展特定行业网络犯罪与针对性间谍行动。
该组织以其使用的远程访问木马(RAT)——RomCom RAT 命名,该木马自 2022 年起在野外活动。早期通过伪装成 Advanced IP Scanner 等合法应用实施攻击,后期转向 pdfFiller 等载体,持续变换攻击手段规避检测。
攻击模式与目标
RomCom 主要针对欧洲和北美的国防及政府实体,采用勒索与间谍攻击结合的策略:勒索方面实施机会主义勒索软件攻击;间谍活动则开展针对性凭证收集,服务于情报行动,对国家安全与组织利益构成严重威胁。
该组织开发并分发 RomCom 后门实现长期控制,同时部署 Underground 勒索软件。据微软研究,该勒索软件与 2022 年 5 月首次出现的 Industrial Spy 勒索软件存在密切关联,攻击活动呈现系统性与持续性特征。
技术能力与零日漏洞利用历史
RomCom 具备较强技术能力,利用 CVE-2025-8088 是其第三次成功利用重大零日漏洞。此前,2023 年 6 月,该组织利用 CVE-2023-36884 漏洞对北约峰会与会者发动攻击,此漏洞存在于微软 Word 软件中,攻击者构造恶意 Word 文档,用户打开后便可能触发漏洞,使攻击者在用户系统上执行任意代码,攻击目标极具针对性,凸显其在针对关键目标开展间谍活动的技术能力和意图。2024 年 10 月,RomCom 组织组合利用 CVE-2024-9680 与 CVE-2024-49039 漏洞发动攻击,CVE-2024-9680 是 Firefox 浏览器中的漏洞,与 CVE-2024-49039 配合,能绕过浏览器安全机制,在用户浏览特定网页时实现恶意代码执行,此次攻击覆盖范围广,涉及欧洲和北美的众多用户,展现其善于利用多种漏洞组合攻击以扩大影响的特点。此外,2024 年末,该组织还利用两个 Firefox 和 Tor 浏览器零日漏洞开展攻击,通过精心设计的网页,当用户使用相关浏览器访问时,恶意代码可自动运行,实现窃取敏感信息、安装其他恶意软件等功能,严重威胁用户信息和系统安全,体现其持续关注软件漏洞并迅速转化为攻击手段的能力。此类活动表明其具备强大的漏洞挖掘利用能力与持续资源投入,对全球网络安全构成严重威胁。
历史攻击记录和手法
2022 年针对特定行业的攻击:早期,RomCom 组织主要通过伪装成 Advanced IP Scanner 等合法应用程序实施攻击。他们将恶意程序捆绑在这些看似正常的应用中,通过非官方渠道分发,诱使用户下载安装。一旦用户运行该应用,恶意程序便会悄然植入系统,进而窃取用户信息或实施远程控制。攻击目标多为制造业和物流行业的中小型企业,利用这些企业在软件安全管理上的疏漏,达到入侵目的。
2023 年初的钓鱼攻击:该组织转向使用钓鱼邮件进行攻击,邮件内容伪装成重要的商业合同或通知,附件为带有恶意宏的 Office 文档。当用户打开文档并启用宏时,恶意代码便会执行,在系统中建立后门,与 C2 服务器建立连接。此次攻击主要针对欧洲的金融机构,试图窃取账户信息和交易数据。
2023 年中期利用 CVE-2023-36884 漏洞的攻击:针对北约峰会与会者,利用微软 Word 中的 CVE-2023-36884 漏洞。攻击者精心构造恶意 Word 文档,通过钓鱼邮件发送给目标人群。文档内容看似与峰会相关的重要资料,吸引用户打开。用户打开文档后,漏洞被触发,攻击者获得系统控制权,随后部署 RomCom RAT,进行情报收集。
2024 年利用浏览器漏洞的系列攻击:2024 年 10 月,组合利用 CVE-2024-9680 与 CVE-2024-49039 漏洞攻击 Firefox 浏览器用户。攻击者搭建恶意网站,通过社交工程手段诱导用户访问。用户在浏览网页时,漏洞被利用,恶意代码在后台执行,下载并安装 SnipBot 变种等恶意软件。攻击覆盖欧洲和北美多个地区的普通用户及企业员工,以窃取各类账号密码和个人信息为主要目的。2024 年末,又利用 Firefox 和 Tor 浏览器的零日漏洞,同样通过恶意网页进行攻击,无需用户额外操作,恶意代码即可自动运行,进一步扩大了攻击范围和成功率,主要窃取用户隐私数据和敏感信息,并尝试安装勒索软件。
扩展分析:WinRAR 历史重点漏洞
CVE-2025-8088 并非 WinRAR 首次曝出的高危漏洞。作为一款全球用户超过 5 亿的压缩软件,其在过去近 20 年中被发现并披露了多个严重漏洞,这些漏洞多围绕路径遍历、代码执行等核心风险点展开,且多次被攻击者用于实际攻击。以下为主要的历史重点漏洞。
CVE-2018-20250
2019 年 2 月 22 日,Checkpoint 在其 blog 发布的文章《Extracting a 19 Year Old Code Execution from WinRAR》中披露了该漏洞。此漏洞源于 WinRAR 处理 ACE 文件的模块在解压路径处理上存在缺陷,属于条件文件写漏洞,最终可演变为代码执行漏洞。该漏洞存在于 WinRAR <= 5.61 的版本中,由于处理 ACE 文件的 unacev2.dll 模块对解压路径处理不当,黑客可通过更改压缩包的 CRC 校验码来修改解压时的文件名,从而触发路径遍历漏洞。
漏洞细节披露后不久,便被 APT33、MuddyWater 等组织应用于实际攻击场景。瑞星公司在 2 月 25 日截获了国内首个利用此漏洞传播的.ace 恶意文件,该文件会下载 Orcus 远控木马,其具备录音、键盘记录、密码窃取、远程控制桌面等恶意功能。WinRAR 官方随后推出 beta 版对该漏洞进行修复,修复方式为删除 unacev2.dll 文件,不再支持 ACE 格式文件。
CVE-2023-38831
该漏洞由 Group-ip 发现,攻击者利用此漏洞开展在野攻击,攻击样本为 zip 压缩包。当用户预览或解压 ZIP 文件时,WinRAR 会因末尾空格导致文件名匹配错误,从而错误释放同名文件夹中的恶意文件,触发恶意代码执行。
此后,包括 APT28、APT29 在内的多个组织均使用该漏洞发动攻击,凸显了其被广泛利用的风险性。该漏洞的利用无需用户进行复杂操作,仅通过预览或解压文件这一常规行为即可触发,使得攻击的成功率较高,对用户的系统安全构成了严重威胁。
CVE-2025-6218
此为 WinRAR Windows 版的路径遍历漏洞。攻击者借助特制压缩包,能够将恶意文件写入系统开机目录,待受害者重启系统,木马将自动运行。该漏洞由安全研究员 whs3-detonator 通过趋势科技 Zero Day Initiative 报告,2025 年 6 月 30 日其 exp 被披露,随后被攻击者用于实际攻击活动。
该漏洞的危害在于,一旦恶意文件被写入系统开机目录,将实现恶意程序的持久化运行,用户很难察觉,从而给攻击者长期控制用户系统、窃取敏感信息提供了可乘之机。
WinRAR 5.21 - SFX OLE 代码执行漏洞
WinRAR 5.21 版本被曝出此代码执行漏洞,Vulnerability Lab 将其评定为高危级别,危险系数达 9(满分 10)。安全研究人员 Mohammad Reza Espargham 发布了 PoC,可实现用户打开 SFX 文件时隐蔽执行攻击代码。
SFX 是 SelF-eXtracting 的缩写,即自解压文件,在创建时支持添加 html 脚本且不受 IE 沙箱限制。若主机存在 MS14-064 漏洞(Microsoft Windows OLE 远程代码执行漏洞,影响 Win95+IE3 至 Win10+IE11 全版本),打开包含 MS14-064 exp 的 sfx 文件后,就能隐蔽执行任意代码。不过,WinRAR 官方 RARLabs 认为该功能是软件安装必备,拒绝发布修复补丁或升级版本。
WinRAR (过期通知) OLE 远程代码执行漏洞
由 R-73eN 公布 poc。WinRAR 默认会访问特定网址,若网络被劫持并替换为 MS14-064 的攻击代码,就能实现远程执行任意代码并逃脱 IE 沙箱限制。
利用条件为网络被劫持且未安装 MS14-064 漏洞补丁。但 WinRAR 官方认为若满足这些利用条件,系统本身已不安全,超出了 WinRAR 软件自身范畴,因此拒绝为此漏洞更新补丁。
2019 年 Path Traversal 漏洞
2019 年 2 月 20 日,国外安全研究员 Nadav Grossman 发布了此漏洞。当用户解压压缩包时,该漏洞可导致命令执行。其主要由 WinRAR 解压 ACE 压缩包采用的动态链接库 unacev2.dll 引起,该 dll 在处理 filename 时仅校验 CRC,黑客可更改压缩包的 CRC 校验码来修改解压时的 filename,从而触发 Path Traversal 漏洞。
虽然 WinRAR 本身对 filename 有一定检测限制,且普通用户解压 RAR 文件时无法将恶意 Payload 解压到需要 System 权限的文件夹,但通过精心构造路径,仍可实现从 Path Traversal 到任意命令执行的过程。WinRAR 官方后续将 unacev2.dll 文件删除,不再支持 ACE 格式文件。
总结与展望
WinRAR 零日漏洞(CVE-2025-8088)的出现再次为网络安全敲响警钟。该漏洞凭借路径遍历与 Windows 备用数据流技术的结合,被 RomCom 等黑客组织成功用于实际攻击,对多个关键行业造成了潜在威胁。从漏洞的技术原理来看,其利用方式隐蔽且具有较强的欺骗性,用户稍不留意便可能陷入攻击陷阱。
回顾 RomCom 组织的攻击历史,其多次利用零日漏洞发动针对性攻击,展现出强大的技术实力和持续的攻击意图,这也反映出高级黑客组织对软件漏洞的高度关注和快速利用能力。
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
