引言

近期,俄罗斯网络安全公司 BI.ZONE 监测到代号为"纸狼人"(Paper Werewolf/GOFFEE) 的 APT 组织正积极利用 WinRAR 中的两个路径遍历漏洞(CVE-2025-8088 和 CVE-2025-6218)发动攻击。此类攻击主要针对俄罗斯及独联体国家的关键基础设施,展现了该组织的高级技术能力和明确的地缘政治目标。本报告将深入剖析纸狼人组织的攻击技术、历史活动以及所利用的 WinRAR 漏洞技术细节,为安全专家提供应对此类威胁的参考。

纸狼人组织利用WinRAR漏洞的攻击活动分析

攻击概述

2025年 7 月,BI.ZONE 威胁情报团队监测到纸狼人组织通过钓鱼邮件向俄罗斯组织投递带有陷阱文件的攻击载荷,这些攻击使用了 CVE-2025-6218 和 CVE-2025-8088 漏洞。与此同时,网络安全公司 ESET 也发现另一个 APT 组织 RomCom(又称Storm-0978) 正利用相同漏洞进行攻击,表明该漏洞的利用已呈多发趋势。

攻击链分析

纸狼人组织的攻击链始于精心设计的钓鱼邮件,通常伪装成来自研究机构、市政管理部门或电网公司的合法通信。这些邮件附带特制的 RAR 压缩包,当受害者解压时,攻击者利用 WinRAR 路径遍历缺陷,将恶意 DLL、EXE 及 LNK 文件隐藏于"备用数据流"(ADS)中。

解压过程中,这些恶意文件会被释放到 %TEMP%、%LOCALAPPDATA% 等临时目录,以及 Windows 启动目录,从而实现在系统启动时自动运行恶意程序。部分 ADS 条目被故意设计为指向无效路径,用于干扰用户视线,掩盖实际威胁。

攻击流程通常借助 Windows 快捷方式(LNK文件)引导加载 DLL、解密并执行 shellcode,最终建立与攻击者的远程控制(C2)通信,下载后续恶意模块。这种攻击手法的危险性在于,它能够绕过用户的警觉性,在用户不知情的情况下执行恶意代码。

技术特点

纸狼人组织在此次攻击中展现了以下技术特点:

  1. 精准社会工程学:钓鱼邮件内容高度定制,针对特定目标的业务环境和关注点,提高了攻击成功率。

  2. 利用 ADS 隐藏恶意载荷:攻击者充分利用 Windows NTFS 文件系统的备用数据流特性,将恶意文件隐藏在看似正常的 RAR 压缩包中。

  3. 路径遍历技术:通过构造特殊的相对路径,绕过 WinRAR 的安全限制,将文件写入系统关键位置。

  4. 持久化机制:通过将恶意文件放置于Windows启动目录,确保系统重启后仍能保持控制。

  5. 混淆技术:使用无效路径 ADS 条目干扰用户视线,降低被发现的可能性。

纸狼人组织历史活动分析

组织背景与演变

纸狼人(Paper Werewolf/GOFFEE)是一个自 2022 年以来活跃的网络威胁组织。根据 BI.ZONE 威胁情报团队的报告,该组织已发起至少七次已知的攻击活动,目标涵盖政府、能源、金融和媒体等多个关键领域。

该组织最初以间谍活动为主,随后其战术逐渐演变为更具破坏性的操作,给各行业带来了严重的安全隐患。纸狼人组织的攻击目标明确指向俄罗斯及独联体国家的关键基础设施,这表明该组织可能具有明确的地缘政治目标。

攻击工具与技术演进

早期攻击手法(2022-2023)

在早期活动中,纸狼人组织主要依赖于钓鱼邮件,这些邮件通常包含带有恶意宏的 Microsoft Word 附件,伪装成来自监管机构或执法部门的合法通信。这种策略不仅使得受害者容易上当受骗,还使得组织能够在不被察觉的情况下获取敏感信息或实施破坏性操作。

PowerModul后门工具(2024)

2024 年,纸狼人组织的攻击技术出现了显著演进。卡巴斯基的报告显示,该组织的活动时间跨度从 2024 年 7 月至 12 月,标志着其战术的转变。此阶段,该组织开始使用名为"PowerModul"的定制后门程序,这款恶意软件具有模块化设计,能够从远程服务器接收和执行额外脚本。

PowerModul 包含多个专用组件,其中最值得关注的是:

  1. FlashFileGrabber 组件:专门针对可移动媒体设计,能够从闪存驱动器中窃取文件,或扫描 USB 驱动器并将文档悄悄复制到本地磁盘。

  2. USB Worm 组件:通过感染连接的闪存驱动器传播 PowerModul 恶意软件。这种传播机制特别危险,因为它利用了组织内部常见的文件共享方式,能够绕过网络隔离防护,实现对隔离网络的渗透。

研究人员最初认为 PowerModul 只是另一个植入工具 PowerTaskel 的次级加载器,但后续分析表明它实际上是一个独立工具,拥有自己的指挥控制基础设施。

最新攻击技术:WinRAR漏洞利用(2025)

2025年,纸狼人组织的攻击技术再次升级,开始利用软件漏洞进行攻击。此次,该组织利用了 WinRAR 的两个路径遍历漏洞(CVE-2025-8088 和 CVE-2025-6218),这表明该组织具备识别和利用高危零日漏洞的能力。

CVE-2025-8088 被认为是 CVE-2025-6218 的升级版,相较于后者,CVE-2025-8088 隐蔽性和迷惑性更强,能有效规避大部分杀软或 EDR 的沙盒检测。

攻击目标与影响

纸狼人组织的攻击目标主要集中在俄罗斯的关键基础设施和重要行业,包括:

  1. 政府机构:针对政府机构的攻击可能旨在获取敏感政策信息或政治情报。

  2. 能源行业:能源行业作为关键基础设施,一直是高级持续性威胁组织的重点目标 。

  3. 金融机构:金融机构持有大量敏感数据和财务信息,是高价值攻击目标。

  4. 媒体行业:可能旨在获取未发布的新闻素材或影响信息传播。

  5. 电信公司:可能意在监控通信或建立长期持久化访问。

  6. 建筑公司:可能与关键基础设施建设相关。

这些攻击活动对目标机构造成了多方面的影响,包括数据泄露、网络渗透、业务中断和持续性威胁。值得注意的是,BI.ZONE 指出,该组织至少有一次干扰了被攻陷网络的正常运营,表明其不仅限于信息窃取,还具备实施破坏性攻击的能力和意愿。

攻击手法技术升级路径

纸狼人组织的攻击手法技术升级路径清晰可见,展现了其不断提升的技术能力和威胁水平:

  1. 初始阶段(2022年):主要依赖社会工程学和恶意宏文档,通过钓鱼邮件诱导用户执行恶意代码。这一阶段的攻击相对简单,主要依赖用户交互触发。

  2. 发展阶段(2023-2024年):开始使用更复杂的钓鱼技术,邮件伪装更加精细,针对性更强。同时,开始开发和部署定制恶意软件,如 PowerModul 后门,具备更强的隐蔽性和持久性。

  3. 成熟阶段(2024年下半年):PowerModul 后门功能更加完善,增加了 FlashFileGrabber 和 USB Worm 等专用组件,能够通过可移动存储设备传播,实现对隔离网络的渗透。这一阶段表明该组织已经具备了针对高价值目标进行持续性攻击的能力。

  4. 高级阶段(2025年):开始利用高危零日漏洞,如 WinRAR 的路径遍历漏洞(CVE-2025-8088 和 CVE-2025-6218),实现更隐蔽、更高效的攻击。这一阶段的攻击几乎不需要用户交互,只要用户解压缩恶意文件,就会触发攻击,大大提高了攻击成功率。

这种技术升级路径表明,纸狼人组织正在不断提升其技术能力和攻击效率,从简单的社会工程学攻击发展到能够利用高危零日漏洞的高级持续性威胁。这种演进趋势值得安全专家高度关注。

WinRAR漏洞技术分析

CVE-2025-8088漏洞原理

CVE-2025-8088 是一个路径遍历漏洞,影响 WinRAR、UnRAR 的 Windows 版本及相关组件。该漏洞的 CVSS v3.1 评分为 8.4,属于高危级别。

漏洞的核心问题在于:当用户执行解压操作时,系统未能正确校验压缩包内预设的文件路径与用户实际指定的目标路径之间的差异。攻击者可精心构造包含特殊相对路径符号(例如"..\\")的压缩包,利用这一缺陷绕过安全限制,将恶意文件非法写入系统启动目录等关键位置。

从技术层面来看,该漏洞本质上属于路径遍历防护机制的失效,使得攻击者能够突破目录隔离限制,实现任意位置的非法文件写入。当用户不慎解压此类恶意 RAR 文件时,攻击者即可悄无声息地将恶意程序植入系统敏感区域,进而达成远程控制受感染系统的最终目的。

备用数据流(ADS)在攻击中的应用

NTFS备用数据流技术规范

备用数据流 (Alternate Data Streams, ADS) 是 NTFS 文件系统的一项特性,允许文件包含多个数据流。在 NTFS 文件系统中,每个文件至少包含一个未命名的默认数据流,即主数据流,同时可以包含零个或多个命名的备用数据流。备用数据流在文件系统层面与主数据流完全分离,但在文件系统元数据中与主文件关联。

NTFS 文件系统中,文件由一系列属性组成,每个属性都有一个类型标识符和可选的名称。数据流作为属性类型 0x80(DATA) 存储,可以通过 "filename:streamname:DATA" 格式进行访问。当未指定流名称时,系统默认访问未命名的主数据流。

在 Windows API 层面,可以通过标准文件操作函数访问 ADS,只需在文件路径后附加冒号和流名称。例如,使用 CreateFile 函数打开名为 "example.txt:hidden" 的备用数据流:

    HANDLE hFile = CreateFile( L"example.txt:hidden", GENERIC_WRITE, 0, NULL, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);

    备用数据流不会在标准文件浏览器中显示,也不会影响文件大小的报告,这使其成为隐藏数据的理想选择。

    ADS在CVE-2025-8088漏洞利用中的应用

    在纸狼人组织利用CVE-2025-8088漏洞的攻击中,ADS技术被用于构造特殊的RAR文件,以实现恶意代码的隐蔽部署。攻击者利用WinRAR处理ADS的方式和路径遍历漏洞的组合,创建了一种高度隐蔽的攻击向量。

    攻击者构造的RAR文件包含以下技术元素:

    ADS条目构造:攻击者在RAR文件中创建多个ADS条目,每个条目都包含特定的文件路径和数据。这些ADS条目使用格式"filename:streamname",其中filename部分包含路径遍历字符序列(如".."),用于指向目标系统的关键目录。

    路径遍历技术:攻击者在ADS条目的文件名部分嵌入路径遍历序列,例如"........\\Windows\\Start Menu\\Programs\\Startup\\malicious.lnk:hidden"。当WinRAR处理这些条目时,由于CVE-2025-8088漏洞,它无法正确验证和限制这些路径,导致文件被写入到预期目录之外的位置。

    多层隐蔽技术:攻击者在RAR文件中包含大量指向无效路径的ADS条目,这些条目会在WinRAR界面中生成警告消息,有效掩盖了真正的恶意ADS条目。这种技术利用了用户对重复警告的忽视心理,降低了被发现的可能性。

    载荷分离:攻击者将攻击载荷分离为多个组件,存储在不同的ADS中。典型配置包括:

    将LNK文件(Windows快捷方式)放置在启动目录;

    将DLL或EXE文件放置在临时目录;

    将配置数据或加密的Shellcode放置在其他位置。

    执行链构建:LNK文件被设计为执行链的入口点,通常配置为执行系统合法程序(如cmd.exe或powershell.exe),并传递特定参数以加载恶意DLL或执行其他命令。这种技术利用了Windows对启动目录中LNK文件的自动执行机制。

    ADS与WinRAR漏洞的技术结合点

    WinRAR在处理RAR文件中的ADS条目时存在以下技术缺陷:

    路径规范化不完整:WinRAR在处理包含ADS的文件路径时,未能正确规范化路径字符串,导致路径遍历序列(如"..")被保留并在文件系统操作中生效。

    ADS解析逻辑缺陷:当WinRAR遇到格式为"filename:streamname"的条目时,它未能正确识别和处理ADS语法,而是将整个字符串视为单一文件路径,导致ADS部分被错误地解释为文件名的一部分。

    权限检查绕过:WinRAR在解压文件时未能对目标路径执行足够的权限和安全性检查,允许写入操作发生在用户未明确授权的目录中。

    用户界面问题:WinRAR的用户界面在显示包含大量ADS条目的RAR文件内容时,无法有效地突出显示潜在危险的条目,使用户难以识别恶意内容。

    这些技术缺陷的组合使攻击者能够构造特殊的RAR文件,在用户解压时将恶意代码部署到系统关键位置,而无需额外的用户交互或提权操作。

    攻击执行流程

    在纸狼人组织的攻击中,ADS技术在攻击链中的具体应用流程如下:

    初始访问:攻击者通过钓鱼邮件向目标发送包含特制RAR文件的附件。

    用户交互:当用户解压RAR文件时,WinRAR处理文件中的所有条目,包括隐藏的ADS条目。

    漏洞触发:由于CVE-2025-8088漏洞,WinRAR错误地处理ADS条目中的路径遍历序列,将文件写入到系统关键位置:

    恶意LNK文件被写入到"%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup"目录

    恶意DLL文件被写入到"%TEMP%"或"%LOCALAPPDATA%\\Temp"目录

    其他辅助文件被写入到预定位置

    持久化建立:一旦文件被部署到相应位置,攻击就建立了持久化机制,无需额外的用户交互。

    执行触发:当用户下次登录系统时,启动目录中的LNK文件自动执行,触发恶意代码的加载和执行。

    远程控制建立:执行的恶意代码解密并加载Shellcode,建立与命令控制(C2)服务器的连接,允许攻击者远程控制受感染系统。

    这种攻击方法的技术优势在于,它不需要提权操作,不会触发大多数安全软件的行为检测,并且能够在用户不知情的情况下建立持久化访问。

    影响范围与修复措施

    受CVE-2025-8088漏洞影响的系统包括:

    1. WinRAR Windows版 - 所有桌面端安装版本

    2. RAR/UnRAR命令行工具 - Windows版本

    3. UnRAR.dll及便携版UnRAR - 动态链接库与独立版本

    4. 受影响版本范围 - 0至7.12所有版本

    值得注意的是,Linux/Unix版本及RAR安卓版不受影响

    该漏洞影响WinRAR 0至7.12所有版本,意味着几乎所有现有安装都需要立即更新。路径遍历机制可使恶意压缩包突破预设解压目录,可能覆盖系统文件或将可执行代码置于操作系统自动执行的位置。此类攻击可导致系统完全沦陷、数据窃取或额外恶意软件投放。

    2025年7月30日,WinRAR发布了7.13版本修复CVE-2025-8088漏洞。然而,由于WinRAR缺乏自动更新功能,用户需自行手动下载安装新版,导致补丁覆盖率有限。美国网络安全和基础设施安全局(CISA)已将该漏洞列入其已知被利用漏洞目录,要求联邦机构在2025年9月2日前完成缓解措施部署。

    CVE-2025-6218漏洞关联分析

    CVE-2025-6218是与CVE-2025-8088相关的另一个WinRAR目录遍历漏洞。这两个漏洞在攻击机制上有相似之处,但CVE-2025-8088被认为是CVE-2025-6218的升级版。相较于后者,CVE-2025-8088隐蔽性和迷惑性更强,能有效规避大部分杀软或EDR的沙盒检测,因此威胁也要比CVE-2025-6218漏洞高很多。

    在实际攻击中,纸狼人组织同时利用了这两个漏洞,表明该组织对WinRAR漏洞有深入的技术理解,并能够灵活运用多种漏洞组合来提高攻击成功率。

    结论

    纸狼人组织利用WinRAR漏洞的攻击活动,凸显了APT组织对软件漏洞的快速响应能力和武器化能力。该组织自2022年以来不断演进其攻击手段,从最初的钓鱼邮件附带恶意宏文档,到开发具备U盘蠕虫传播和文件窃取功能的定制后门PowerModul,再到近期利用高危WinRAR漏洞,展现出较强的技术适应能力和持续威胁能力。

    CVE-2025-8088漏洞作为一个路径遍历漏洞,结合Windows NTFS文件系统的备用数据流特性,为攻击者提供了一种隐蔽且有效的攻击途径。该漏洞允许攻击者绕过用户指定的解压路径,将恶意文件写入系统关键位置,实现持久化控制。

    安全专家在应对此类威胁时,需持续关注纸狼人等威胁组织的动态,及时更新和修补软件漏洞,加强对钓鱼邮件和恶意文件的检测能力,并提升组织整体的安全意识和防护水平。只有通过多层次、全方位的安全防护措施,才能有效抵御此类高级持续性威胁,保障网络空间安全。

    声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。