CISA警告：多个威胁组织利用WinRAR漏洞（CVE6218）攻击

美国网络安全和基础设施安全局 (CISA) 周二将影响 WinRAR 的安全漏洞添加到其已知利用漏洞 ( KEV ) 目录中，并指出有证据表明该漏洞已被积极利用。

该漏洞编号为CVE-2025-6218（CVSS 评分：7.8），是一个路径遍历漏洞，漏洞允许攻击者执行恶意代码。要成功利用该漏洞，目标用户需要访问恶意页面或打开恶意文件。

CISA在一份警报中表示：“RARLAB WinRAR 存在路径遍历漏洞，攻击者可以利用该漏洞在当前用户的上下文中执行代码。”

该漏洞已由 RARLAB 在 2025 年 6 月发布的 WinRAR 7.12 版本中修复。该漏洞仅影响 Windows 系统版本，其他平台（包括 Unix 和 Android）的版本不受影响。

RARLAB 当时指出：“这个漏洞可能被利用来将文件放置在敏感位置（例如 Windows 启动文件夹），从而可能导致在下次系统登录时意外执行代码。”

此前，BI.ZONE、Foresiet、SecPod 和 Synaptic Security 等多家媒体报道称，该漏洞已被两个不同的威胁组织利用，他们分别是 GOFFEE（又名 Paper Werewolf）、Bitter（又名 APT-C-08 或 Manlinghua）和 Gamaredon。

有迹象表明，GOFFEE 可能与 CVE-2025-6218 以及 CVE-2025-8088（CVSS 评分：8.8）一起被利用，后者是 WinRAR 中的另一个路径遍历漏洞，攻击者可能在 2025 年 7 月通过网络钓鱼邮件对俄罗斯目标发起攻击。

此后有消息称，主要针对南亚地区的Bitter APT 组织也利用了该漏洞，使其能够在受感染主机上持久驻留，并最终通过轻量级下载器投放 C# 木马程序。该攻击利用了一个 RAR 压缩文件（“Provision of Information for Sectoral for AJK.rar”），其中包含一个看似无害的 Word 文档和一个恶意宏模板。

“恶意压缩包会将一个名为 Normal.dotm 的文件放入 Microsoft Word 的全局模板路径中。”Foresiet上个月表示。“Normal.dotm 是一个全局模板，每次打开 Word 时都会加载。通过替换合法文件，攻击者可以确保其恶意宏代码自动执行，从而提供一个持久的后门，绕过标准的电子邮件宏阻止机制，用于在初始入侵后收到的文档。”

该 C# 木马程序旨在连接外部服务器（“johnfashionaccess[.]com”）以获取命令与控制 (C2) 权限，并启用键盘记录、屏幕截图、远程桌面协议 (RDP) 凭据窃取和文件外泄功能。据评估，RAR 压缩包是通过鱼叉式网络钓鱼攻击传播的。

CVE-2025-6218漏洞也被一个名为Gamaredon的俄罗斯黑客组织利用，发起网络钓鱼活动，攻击乌克兰的军事、政府、政治和行政机构，企图用名为Pteranodon的恶意软件感染它们。该活动最早于2025年11月被发现。

一位化名罗宾的安全研究员表示：“这不是一次机会主义行动，而是一次有组织的、以军事为导向的间谍和破坏行动，与俄罗斯国家情报部门的行动一致，很可能是由其协调策划的。”

值得注意的是，攻击者还广泛滥用了 CVE-2025-8088，利用它传播恶意 Visual Basic Script 恶意软件，甚至部署了代号为 GamaWiper 的新型擦除器。

ClearSky在 2025 年 11 月 30 日发表于 X 的一篇文章中表示： “这是首次观察到 Gamaredon 进行破坏性行动，而不是传统的间谍活动。”

鉴于该漏洞已被积极利用，CISA命令联邦民事行政部门必须在 2025 年 12 月 30 日之前采取必要的补救措施，以确保其网络安全。