警报拉响：WinRAR高危漏洞正遭全球黑客疯狂利用

IT之家 1 月 28 日消息，谷歌威胁情报小组（GTIG）携手安全公司 ESET 发布报告，现有证据表明全球多个黑客组织正疯狂利用 WinRAR 的高危漏洞（CVE-2025-8088）。

IT之家援引报告内容，谷歌威胁情报小组指出，利用该漏洞的攻击活动最早可追溯至 2025 年 7 月 18 日，且至今仍未停歇。ESET 的研究人员早在 2025 年 8 月初就已发现该漏洞，并指出亲俄黑客组织 RomCom 当时已将其用于零日攻击。

WinRAR 已于 2025 年 7 月 30 日发布补丁，并敦促 WinRAR 用户尽快升级到 7.13 及更高版本，以规避安全风险。

该漏洞的核心机制在于利用 Windows 系统的“备用数据流”（ADS）特性进行路径遍历攻击。谷歌研究人员解释称，攻击者通常将恶意文件隐藏在压缩包内诱饵文件（如 PDF 文档）的 ADS 中，用户在查看诱饵文档后，WinRAR 会在后台通过目录遍历将恶意载荷（如 LNK、HTA、BAT 或脚本文件）解压并释放到任意位置。

攻击者最常选择的目标是 Windows 启动文件夹，这样一来，恶意脚本就会在用户下次登录系统时自动运行，从而实现持久化攻击。

谷歌的监测数据显示，多个黑客组织正积极利用该漏洞发起攻击。其中，UNC4895（RomCom）通过鱼叉式网络钓鱼向军事单位投放 Snipbot 恶意软件；APT44 和 Turla 则利用诱饵文件分发后续下载器和恶意软件套件。

此外，出于经济动机的犯罪分子也加入了这场狂欢，他们利用该漏洞分发 XWorm、AsyncRAT 等远程访问工具及银行窃密插件，甚至部署由 Telegram 机器人控制的后门程序。