DevOps VietNam

Lỗ hổng bảo mật WinRAR CVE-2025-6218 đang bị nhiều nhóm tội phạm mạng tấn công.

CISA vừa phát hành cảnh báo khẩn cấp sau khi xác nhận lỗ hổng WinRAR CVE-2025-6218 đang bị các nhóm hacker nhà nước như Bitter và Gamaredon khai thác tích cực trong các hoạt động gián điệp và phá hoại có cấu trúc. Lỗ hổng path traversal tưởng chừng đơn giản này, tồn tại trong tiện ích nén phổ biến nhất thế giới, đang biến hàng triệu máy tính Windows thành mục tiêu dễ dàng cho việc thực thi mã từ xa và duy trì sự hiện diện lâu dài trên mạng lưới mục tiêu.

Lỗ hổng CVE-2025-6218 (điểm CVSS: 7.8) là một lỗi path traversal cho phép kẻ tấn công thực thi mã trong ngữ cảnh của người dùng hiện tại chỉ bằng cách dụ nạn nhân truy cập một trang web hoặc mở một tệp độc hại. Tác động nguy hiểm nhất là khả năng lỗ hổng bị khai thác để đặt các tệp độc hại vào các thư mục nhạy cảm, điển hình là Windows Startup folder, đảm bảo mã độc được tự động kích hoạt khi hệ thống đăng nhập lần tiếp theo.

Lỗ hổng này chỉ ảnh hưởng đến các phiên bản WinRAR dựa trên Windows và đã được RARLAB vá trong phiên bản WinRAR 7.12 vào tháng 6 năm 2025.

Các báo cáo tình báo bảo mật cho thấy ba nhóm tấn công khác nhau, bao gồm hai nhóm nổi tiếng, đã tích cực sử dụng lỗ hổng này:

Bitter (APT-C-08): Khai thác lâu dài tuyệt đối
Nhóm hacker Bitter đã vũ khí hóa lỗ hổng này để thiết lập persistence (sự tồn tại lâu dài) trên máy chủ mục tiêu. Chúng sử dụng các tệp RAR giả mạo để âm thầm thay thế tệp Normal.dotm vào đường dẫn global template của Microsoft Word. Tệp Normal.dotm độc hại này, mang theo macro, được tải tự động mỗi khi Word được mở, tạo ra một backdoor khó phát hiện. Tải trọng cuối cùng là một C# trojan được thiết kế để liên lạc với máy chủ C2, thực hiện keylogging, chụp màn hình, đánh cắp thông tin đăng nhập RDP, và rò rỉ tệp.
Gamaredon: Từ Gián điệp sang Phá hoại
Nhóm hacker Gamaredon của Nga đã khai thác CVE-2025-6218 trong các chiến dịch phishing nhắm vào các cơ quan quân sự và chính phủ Ukraine, lây nhiễm mã độc Pteranodon. Hoạt động này được đánh giá là một chiến dịch gián điệp và phá hoại có chuẩn bị trước. Đáng chú ý, Gamaredon cũng lạm dụng lỗ hổng WinRAR thứ hai là CVE-2025-8088 để phát tán mã độc GamaWiper. Đây là lần đầu tiên nhóm này chuyển từ hoạt động gián điệp truyền thống sang các hoạt động phá hoại có chủ đích.
GOFFEE (Paper Werewolf): Nhóm này cũng đã sử dụng lỗ hổng này (kết hợp với CVE-2025-8088) trong các cuộc tấn công nhắm vào các tổ chức ở Nga thông qua email phishing.

Trong bối cảnh lỗ hổng đang bị khai thác tích cực bởi các mối đe dọa có cấu trúc và có tổ chức, CISA yêu cầu các cơ quan chính phủ Mỹ phải hoàn tất việc vá lỗi trước ngày 30 tháng 12 năm 2025. Các tổ chức và người dùng cá nhân trên nền tảng Windows được khuyến cáo ngừng ngay việc trì hoãn cập nhật WinRAR lên phiên bản 7.12 hoặc mới hơn.