تداوم سوءاستفاده فعال از آسیب‌پذیری WinRAR؛ از جاسوسی دولتی تا جرایم سایبری مالی

پژوهش‌های جدید نشان می‌دهد یک آسیب‌پذیری با شدت بالا در WinRAR با شناسه CVE-2025-8088، ماه‌ها پس از افشا همچنان به‌طور گسترده توسط طیف متنوعی از بازیگران تهدید مورد سوءاستفاده قرار می‌گیرد. این بازیگران شامل گروه‌های جاسوسی وابسته به دولت‌ها و همچنین مجرمان سایبری با انگیزه‌های مالی هستند که از این نقص برای دسترسی اولیه (Initial Access) و استقرار بدافزار استفاده می‌کنند.

جزئیات فنی آسیب‌پذیری

CVE-2025-8088 یک نقص از نوع Path Traversal است که از سوءاستفاده از Alternate Data Streams – ADS در فایل‌سیستم NTFS بهره می‌برد. در این تکنیک، فایل مخرب در ADS یک فایل طعمه درون آرشیو WinRAR پنهان می‌شود. هنگام استخراج، WinRAR به‌اشتباه مسیرهای دایرکتوری را پردازش کرده و امکان نوشتن فایل در مسیرهای دلخواه سیستم را فراهم می‌کند.

در سناریوهای مشاهده‌شده، مهاجمان با کاشت فایل‌های مخرب در پوشه Windows Startup، ماندگاری بدافزار را پس از راه‌اندازی مجدد سیستم تضمین می‌کنند. فایل‌های استخراج‌شده اغلب شامل فرمت‌هایی نظیر LNK، HTA، BAT، CMD  و انواع اسکریپت‌ها هستند که در زمان لاگین کاربر اجرا می‌شوند.

تاریخچه افشا و بهره‌برداری

این آسیب‌پذیری نخستین‌بار توسط پژوهشگران شرکت ای‌ست (ESET) شناسایی شد. طبق گزارش‌های اولیه، گروه RomCom از اوایل آگوست ۲۰۲۵ از این نقص در حملات روز-صفر استفاده کرده است. با این حال، داده‌های منتشرشده از سوی Google Threat Intelligence Group – GTIG نشان می‌دهد که بهره‌برداری عملی از این آسیب‌پذیری حداقل از ۱۸ ژوئیه ۲۰۲۵ آغاز شده و تا امروز ادامه دارد.

نکته قابل‌توجه این است که الگوی سوءاستفاده به‌مرور از عملیات‌های پیچیده دولتی به سطح گسترده‌تری از جرایم سایبری کالایی‌شده گسترش یافته است.

بازیگران تهدید و کمپین‌های مشاهده‌شده

بر اساس گزارش GTIG، چندین گروه پیشرفته دولتی از CVE-2025-8088 در عملیات‌های هدفمند استفاده کرده‌اند.

در کنار این گروه‌ها، مهاجمان با انگیزه مالی نیز از این آسیب‌پذیری برای توزیع بدافزارهای رایج مانند XWorm و AsyncRAT، درب‌های پشتی مبتنی بر ربات تلگرام و افزونه‌های بانکی مخرب برای مرورگر Chrome استفاده کرده‌اند.

تحلیل‌ها نشان می‌دهد بسیاری از این بازیگران از اکسپلویت‌های آماده تهیه‌شده از فروشندگان تخصصی استفاده کرده‌اند. یکی از این فروشندگان با نام مستعار zeroplayer در میانه سال ۲۰۲۵ اقدام به تبلیغ عمومی اکسپلویت WinRAR کرده بود. همین بازیگر، در بازه‌ای کوتاه، اکسپلویت‌هایی با ارزش بالا از جمله روز-صفرهای مرتبط با Microsoft Office، ارتباطات VPN سازمانی، افزایش سطح دسترسی محلی Windows و دور زدن سازوکارهای EDR را با قیمت‌هایی بین ۸۰ تا ۳۰۰ هزار دلار عرضه کرده است.

این روند به‌وضوح نشان‌دهنده کالایی‌شدن توسعه اکسپلویت در زنجیره حملات سایبری است؛ پدیده‌ای که پیچیدگی فنی حملات را برای مهاجمان کاهش داده و امکان هدف‌گیری سریع سیستم‌های وصله‌نشده را فراهم می‌کند.

پیامدهای امنیتی و توصیه‌ها

تداوم بهره‌برداری از CVE-2025-8088 نشان می‌دهد که حتی آسیب‌پذیری‌های شناخته‌شده نیز در صورت عدم مدیریت وصله‌ها (Patch Management) می‌توانند برای مدت طولانی به‌عنوان بردار حمله مؤثر باقی بمانند. سازمان‌ها باید:

  • استفاده از نسخه‌های وصله‌نشده WinRAR را فوراً متوقف کنند؛
  • اجرای فایل‌های آرشیوی از منابع ناشناس را محدود یا مسدود کنند؛
  • رفتارهای مرتبط با نوشتن فایل در Startup و سوءاستفاده از ADS را در راهکارهای EDR رصد کنند؛
  • آموزش آگاهی امنیتی کاربران در برابر فایل‌های طعمه را تقویت کنند.

جمع‌بندی

CVE-2025-8088 نمونه‌ای روشن از هم‌گرایی تهدیدات با حمایت دولتی و جرایم سایبری مالی بر بستر یک آسیب‌پذیری واحد است. تا زمانی که ابزارهای پرکاربردی مانند WinRAR به‌صورت گسترده و بدون به‌روزرسانی استفاده شوند، چنین نقص‌هایی همچنان یکی از مؤثرترین نقاط ورود مهاجمان به شبکه‌های سازمانی باقی خواهند ماند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

20 − دو =