與俄羅斯有聯繫的黑客群體正在利用流行的Winrar文件壓縮實用程序中的關鍵零日漏洞,使數百萬用戶處於危險之中。該缺陷被確定為CVE-2025-8088,允許攻擊者在打開特殊精心設計的存檔文件時在目標系統上執行惡意代碼。
安全公司ESET ESET在2025年7月發現了Active Exploits,將它們歸因於Romcomcom Cybercrime Group 。 WinRAR’s developer has since 發布7.13版以修補漏洞。但是,該應用程序不會自動更新,要求用戶手動安裝修復程序。
事件亮點持續的安全挑戰:攻擊者經常利用廣泛安裝軟件的緩慢修補週期。 Winrar中缺乏自動更新功能大大擴大了威脅參與者在網絡釣魚運動中取得成功的機會之窗。 Under Active Exploitation
The vulnerability was first detected in the wild by ESET researchers on July 18, 2025, who observed 指向新漏洞利用的不尋常文件活動。確認行為後,他們在7月24日向Winrar的開發人員負責任地披露了這一缺陷,此舉促使了迅速的響應。
六天后,7月30日,發布了一個修補版本。現在,該漏洞是正式的在國家脆弱性數據庫中跟踪的CVE-2025-8088 。它的發現繼續在無處不在的文件檔案庫中的安全性問題令人不安的趨勢,該檔案仍然是網絡犯罪分子的高價值目標。
cve-2025-8088路徑遍布缺陷如何起作用
當具有脆弱的Winrar版本的用戶打開此文件時,漏洞利用會欺騙該應用程序將惡意可執行性提取到敏感的系統文件夾中。主要目標是Windows啟動目錄,該目錄可確保程序在登錄時自動運行。
在其官方發行說明中,開發人員確認了該機制,並指出:“當提取文件時,可以將winrar的先前版本……可以被欺騙到使用特定的檔案中定義的路徑,而不是專門製作的檔案,而不是用戶指定的路徑。 ” Once the malware is planted in the Startup folder, it will automatically run the next time the user logs into Windows, leading to remote code execution and giving the attacker control.
Russian Hacking Groups Lead Phishing Campaigns
ESET has attributed the primary wave of attacks to a well-resourced, financially motivated Russian group it tracks as RomCom.該小組有利用零日來部署自定義後門並竊取數據的歷史。根據研究人員彼得·斯特魯奇(PeterStrýček)的說法,“這些檔案利用了CVE-2025-8088來提供Romcom的後門。 ROMCOM是一個與俄羅斯一致的團體。 ”
該小組的成熟程度是顯著的。 ESET的分析指出:“通過利用Winrar中以前未知的零日脆弱性,Romcom集團表明,它願意將嚴重的努力和資源投入到網絡上。 “令人不安的是,Romcom並不孤單。俄羅斯安全公司Bi.zone報導說,第二組(稱為紙質狼人或戈菲)也被發現在自己的廣告系列中利用CVE-2025-8088。該工具具有在野外積極利用的關鍵脆弱性歷史。 2023年,來自俄羅斯和中國的國家支持黑客使用了另一個缺陷,即CVE-2023-38831。
同年,一個單獨的錯誤,CVE-2023-40477,也允許在受影響的系統上進行遠程代碼執行,需要另一個緊急補丁。這些重複發生的事件可以清楚地提醒與軟件相關的風險。正如Google的威脅分析小組先前對Winrar Exploits評論的那樣,“……正在進行的剝削[…]‘突出顯示,攻擊已知漏洞的利用可能非常有效”,因為攻擊者使用緩慢的補丁率來利用他們的優勢。”攻擊者了解這種用戶行為並圍繞它構建廣告系列,知道大量脆弱的目標將持續數月。
Microsoft在最近的Windows 11構建中引入了對RAR和其他檔案格式的本機支持,而舊系統上有數百萬個用戶或更喜歡Winrar的功能集。強烈建議所有用戶立即下載和安裝Winrar 7.13或更新。