對於許多工程師或系統管理員來說,WinRAR 這種解壓縮工具被視為基礎設施的一部分,甚至被認為是低風險的軟體。然而,近期 Trend Micro 的分析報告揭露了一個嚴峻的現實:即便官方早在 2025 年 7 月就發布了修補程式,俄羅斯支持的駭客組織依然能利用舊版 WinRAR 的漏洞,在烏克蘭組織中大肆部署資訊竊取軟體。
這起事件的核心在於一個名為 CVE-2025-8088 的路徑穿越漏洞(Path Traversal)。簡單來說,路徑穿越是指攻擊者透過在檔案路徑中加入特定字元(例如點點斜線),欺騙程式將檔案寫入到預期目錄之外的地方。在這次案例中,攻擊者利用了 NTFS 檔案系統的替代資料流(Alternate Data Streams, ADS)特性,讓 WinRAR 在解壓縮時,將惡意檔案悄悄地寫入到系統的啟動資料夾(Startup folder)或其他敏感路徑,而不是留在使用者指定的解壓縮資料夾內。
這對 Junior 工程師來說是一個重要的教訓:漏洞修補(Patching)並不等於風險消除。如果企業內部缺乏統一的軟體版本管理(Unmanaged Software),即便官方發布了修補程式,只要仍有員工使用舊版本,攻擊者就有機會透過這個入口進入系統。
在這次攻擊中,兩個不同的駭客組織採取了不同的攻擊鏈。第一個組織 SHADOW-EARTH-066 捨棄了過去常用的 Excel 巨集,改用精心設計的 RAR 壓縮檔。他們在壓縮檔中放入一個偽裝成 PDF 的誘餌文件,並利用上述漏洞將一個 Windows 快捷方式(LNK 檔)植入啟動資料夾。當使用者下次登入 Windows 時,該快捷方式會自動執行,透過 cmd.exe 調用 PowerShell,進而將名為 GIFTEDCROOK 的資訊竊取軟體載入記憶體執行。
這類資訊竊取軟體(Information Stealer)的主要目標是瀏覽器(如 Chrome, Edge, Firefox)儲存的密碼與 Cookie,以及特定副檔名的敏感文件。值得注意的是,該組織將資料外傳的管道從 Telegram 轉向了專用的指令控制伺服器(C2 Server),這很可能是為了應對俄羅斯境內對 Telegram 的封鎖。
另一個組織 Earth Dahu 則採取了更複雜的間諜活動路徑。他們利用同樣的 WinRAR 漏洞,部署一個名為 GammaPhish 的 HTML 應用程式(HTA),隨後下載 VBScript 下載器 GammaLoad。這個下載器具備持續存取能力,能透過 Dead Drop Resolvers(DDR,一種利用合法公開平台傳遞指令的技巧)來部署更強大的模組 GammaSteel,實現對受害主機檔案變動的即時監控。
從工程實務的角度來看,這次攻擊揭示了三層防禦失效:首先是軟體更新失效,導致已知漏洞依然可用;其次是端點偵測失效,惡意程式能透過記憶體載入(In-memory loading)避開傳統的檔案掃描;最後是權限管理失效,讓惡意程式能輕易寫入啟動資料夾。
對於開發者與維運人員而言,這提醒我們不能僅依賴單一的防禦手段。除了強制執行軟體版本更新,應考慮實施最小權限原則,限制應用程式對系統敏感目錄的寫入權限,並監控異常的 PowerShell 或 cmd.exe 行為,才能在面對這類針對性強的國家級攻擊時增加生存機率。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。