俄黑客利用WinRAR路径遍历漏洞发起攻击 [附下载]

2025 年 7 月 30 日，流行的压缩管理器 WinRAR 发布 v7.13 版披露该工具中存在的目录遍历漏洞，漏洞编号为 CVE-2025-8088，不过在公告中 WinRAR 并未透露该漏洞已经被利用。

最初发现漏洞的是安全公司 ESET，在 2025 年 7 月 18 日 ESET 发现俄罗斯黑客组织 RomCom (微软称之 Storm-0978) 利用未被记录的路径遍历漏洞发起攻击，随后 ESET 将漏洞通报给 WinRAR。

到 2025 年 7 月 30 日 WinRAR 发布新版本修复漏洞，现在 ESET 公布此次漏洞细节并敦促所有使用 WinRAR 的用户升级到最新版本，避免黑客利用漏洞在 PC 上安装后门程序。

利用特制文档隐藏备用数据流发起攻击：

ESET 发布的报告称，黑客组织制作包含恶意内容的 WinRAR 压缩包诱导用户下载并打开，这些特制压缩包里隐藏大量包含备用数据流的有效负载，目的是隐藏恶意.dll 和.ink (快捷方式)。

当用户使用 WinRAR 打开这些特制压缩包时，这些有效负载会被自动提取到黑客指定的文件夹中，许多备用数据流都是无效路径，ESET 认为这是黑客故意添加的，这样会生成大量看似无害的 WinRAR 警告，让用户降低戒备心。

有效负载包含的可执行文件会被放在 %TEMP% 或 %LOCALAPPDATA% 目录中，而.ink 快捷方式文件则被放在 Windows NT 启动目录中，这样用户重启系统 (或者注销后再登录) 都可以执行快捷方式。

ESET 观察到 3 种攻击链：

1.Mythic Agent：名为 Update.ink 的快捷方式会将 msedge.dll (用于冒充微软 Edge 浏览器) 添加到 COM 劫持注册表为止，该位置会解密 AES Shellcode，随后启动 Mythic Agent 实现 C2 通信、命令执行和 Payload 投递 (Payload 指的是负载，代指其他恶意组件)。

2.SnipBot：名为 Display Settings.ink 的快捷方式会运行 ApbxHelper.exe，这是一个经过修改的 PuTTY，这个修改版本会检查最近打开的文档数量，然后解密 Shellcode 并从攻击者的服务器里下载额外的 Payload。

3.MeltingClaw：名为 Settings.ink 的快捷方式会启动 Complaint.exe，然后下载 MeltingClaw DLL，这个 dll 文件会从攻击者的服务器种获取更多恶意模块。

另外俄罗斯网络安全公司 Bi.Zone 还观察到一个单独的活动集群，该集群被命名为 Paper Werewolf，这个集群也同样使用 CVE-2025-8088 和 CVE-2025-6218 WinRAR 路径遍历漏洞展开攻击。

至于为什么 WinRAR 在 v7.13 版中并未透露该漏洞已经在修复前遭到黑客利用 (属于零日漏洞范畴)，其开发商 RARLAB 称他们并不知道该漏洞的利用细节、没有收到任何用户报告，而 ESET 只是分享了开发补丁所需的技术信息。

WinRAR v7.13 版下载地址：https://dl.techwan.org/soft/winrar/

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/