Hotline: 0917111899 - 0914140366 hoặc kinhdoanh@itw.vn

Icon heart
0
Icon cart 0

Lỗ hổng bảo mật nghiêm trọng chưa được vá (0-day) của WinRAR đã bị 2 nhóm khai thác trong nhiều tuần.

Tác giả tanthanh 10/02/2026 11 phút đọc

Một zero-day có mức độ nghiêm trọng cao trong trình nén tệp WinRAR được sử dụng rộng rãi đang bị hai nhóm tội phạm mạng của Nga tích cực khai thác. Các cuộc tấn công vào các máy tính cửa sau mở các kho lưu trữ độc hại gắn liền với các tin nhắn lừa đảo, một số trong đó được cá nhân hóa.

Hãng bảo mật ESET cho biết hôm thứ Hai rằng nó lần đầu tiên phát hiện ra các cuộc tấn công vào ngày 18 tháng 7, khi phép đo từ xa của nó phát hiện ra một tệp trong một đường dẫn thư mục bất thường. Đến ngày 24 tháng 7, ESET xác định rằng hành vi này có liên quan đến việc khai thác một lỗ hổng chưa xác định trong WinRAR, một tiện ích để nén tệp và có cơ sở cài đặt khoảng 500 triệu. ESET đã thông báo cho các nhà phát triển WinRAR cùng ngày và bản sửa lỗi được phát hành sáu ngày sau đó.

Nỗ lực và nguồn lực nghiêm túc

Lỗ hổng dường như có sức mạnh siêu Windows. Nó lạm dụng thay thế luồng dữ liệu, một tính năng của Windows cho phép các cách khác nhau để thể hiện cùng một đường dẫn tệp. Việc khai thác đã lạm dụng tính năng đó để kích hoạt lỗ hổng truyền tải đường dẫn chưa được biết trước đó khiến WinRAR cài đặt các tệp thực thi độc hại vào các đường dẫn tệp do kẻ tấn công chọn% TEMP% và%LOCALAPPDATA%, mà Windows thường đưa ra giới hạn vì khả năng thực thi mã của chúng.

ESET cho biết họ đã xác định rằng các cuộc tấn công đến từ RomCom, chỉ định theo dõi của nó cho một nhóm tội phạm có động cơ tài chính hoạt động bên ngoài Nga. Nhóm có nguồn lực tốt đã hoạt động tích cực trong nhiều năm trong các cuộc tấn công thể hiện khả năng khai thác và thực hiện các thủ công khá phức tạp. Ngày 0 mà nhóm sử dụng hiện đang được theo dõi là CVE-2025-8088.

“Bằng cách khai thác lỗ hổng zero-day chưa được biết đến trước đây trong WinRAR, nhóm RomCom đã cho thấy rằng họ sẵn sàng đầu tư nỗ lực và nguồn lực nghiêm túc vào các hoạt động mạng của mình, Anton Cherepanov, Peter Strýček và Damien Schaeffer của Eset đã viết. “Đây ít nhất là lần thứ ba RomCom sử dụng lỗ hổng zero-day trong tự nhiên, nêu bật sự tập trung liên tục của nó vào việc thu thập và sử dụng các khai thác cho các cuộc tấn công có chủ đích.”

Điều kỳ lạ là RomCom không phải là nhóm duy nhất khai thác CVE-2025-8088. Theo như Công ty bảo mật Bi.ZONE của Nga, lỗ hổng tương tự đang được khai thác tích cực bởi một nhóm mà nó theo dõi là Paper Werewolf. Cũng được theo dõi với tên GOFFEE, nhóm này cũng đang khai thác CVE-2025-6218, một lỗ hổng WinRAR có mức độ nghiêm trọng cao riêng biệt đã nhận được bản sửa lỗi 5 tuần trước khi CVE-2025-8088 được vá.

BI.ZONE cho biết Người sói giấy đã giao các chiến công vào tháng 7 và tháng 8 thông qua các kho lưu trữ đính kèm email mạo danh nhân viên của Viện nghiên cứu toàn Nga. Mục tiêu cuối cùng là cài đặt phần mềm độc hại cho phép Paper Werewolf truy cập vào các hệ thống bị nhiễm.

Mặc dù những khám phá của ESET và BI.ZONE độc lập với nhau, nhưng vẫn chưa biết liệu các nhóm khai thác lỗ hổng có được kết nối hay thu thập kiến thức từ cùng một nguồn hay không. BI.ZONE suy đoán rằng Paper Werewolf có thể đã mua được các lỗ hổng trong diễn đàn tội phạm thị trường đen tối.

ESET cho biết các cuộc tấn công mà họ quan sát được diễn ra sau ba chuỗi hành quyết. Một chuỗi, được sử dụng trong các cuộc tấn công nhắm vào một tổ chức cụ thể, đã thực thi tệp DLL độc hại ẩn trong kho lưu trữ bằng phương pháp được gọi là COM cướp điều đó khiến nó được thực thi bởi một số ứng dụng nhất định như Microsoft Edge. Nó trông như thế này:

mythic-agent-chain-1
Minh họa chuỗi thực thi cài đặt Mythic Agent. Credit: ESET
 
Tệp DLL trong kho lưu trữ đã giải mã shellcode nhúng, tiếp tục truy xuất tên miền cho máy hiện tại và so sánh nó với giá trị được mã hóa cứng. Khi cả hai khớp nhau, shellcode đã cài đặt một phiên bản tùy chỉnh của Đặc vụ thần thoại khung khai thác.

Chuỗi thứ hai chạy tệp thực thi Windows độc hại để cung cấp tải trọng cuối cùng cài đặt SnipBot, một phần mềm độc hại RomCom đã biết. Nó đã chặn một số nỗ lực phân tích pháp y bằng cách chấm dứt khi mở trong một máy ảo hoặc hộp cát trống, một thực tế phổ biến giữa các nhà nghiên cứu. Chuỗi thứ ba sử dụng hai phần mềm độc hại RomCom đã biết khác, một phần mềm được gọi là RustyClaw và cái còn lại như Móng vuốt tan chảy.

Các lỗ hổng WinRAR trước đây đã bị khai thác để cài đặt phần mềm độc hại. Một lỗ hổng thực thi mã từ năm 2019 đã xuất hiện dưới rộng khai thác vào năm 2019 ngay sau khi được vá. Vào năm 2023, ngày 0 WinRAR đã được khai thác trong hơn bốn tháng trước khi các cuộc tấn công được phát hiện.

Bên cạnh cơ sở người dùng khổng lồ, WinRAR còn tạo ra một phương tiện hoàn hảo để phát tán phần mềm độc hại vì tiện ích này không có cơ chế tự động cài đặt các bản cập nhật mới. Điều đó có nghĩa là người dùng phải chủ động tải xuống và tự cài đặt các bản vá lỗi. Hơn thế nữa, ESET cho biết các phiên bản Windows của các tiện ích dòng lệnh UnRAR.dll và mã nguồn UnRAR di động cũng dễ bị tấn công. Mọi người nên tránh xa tất cả các phiên bản WinRAR trước 7.13, phiên bản mà tại thời điểm bài đăng này được phát trực tuyến là phiên bản mới nhất. Nó có các bản sửa lỗi cho tất cả các lỗ hổng đã biết, mặc dù với luồng WinRAR zero-days dường như không kết thúc, nó không có nhiều sự đảm bảo.

Tác giả tanthanh Admin
Bài viết trước Thượng nghị sĩ chỉ trích cơ quan tư pháp liên bang vì đã phớt lờ “an ninh mạng cơ bản”

Thượng nghị sĩ chỉ trích cơ quan tư pháp liên bang vì đã phớt lờ “an ninh mạng cơ bản”
Bài viết tiếp theo

Lỗ hổng bảo mật SharePoint với mức độ nghiêm trọng 9.8 đang bị khai thác trên toàn cầu.

Lỗ hổng bảo mật SharePoint với mức độ nghiêm trọng 9.8 đang bị khai thác trên toàn cầu.
Viết bình luận
Thêm bình luận

Bài viết liên quan

Thượng nghị sĩ chỉ trích cơ quan tư pháp liên bang vì đã phớt lờ “an ninh mạng cơ bản” Phần mềm & Bảo mật
10/02/2026

Thượng nghị sĩ chỉ trích cơ quan tư pháp liên bang vì đã phớt lờ “an ninh mạng cơ bản”

Thượng nghị sĩ Hoa Kỳ Ron Wyden cáo buộc cơ quan tư pháp liên bang “sơ suất và kém năng lực” sau một ...

Giải nén mật khẩu Pwned: Có thể là nghiên cứu mang tính suy đoán nhất trong nhiều thập kỷ Phần mềm & Bảo mật
10/02/2026

Giải nén mật khẩu Pwned: Có thể là nghiên cứu mang tính suy đoán nhất trong nhiều thập kỷ

Đừng tin mọi thứ bạn đọc, đặc biệt là khi nó là một phần của quảng cáo chiêu hàng tiếp thị được ...

Lỗ hổng nghiêm trọng cao trong Passwordstate credential manager. Vá ngay bây giờ. Phần mềm & Bảo mật
10/02/2026

Lỗ hổng nghiêm trọng cao trong Passwordstate credential manager. Vá ngay bây giờ.

Nhà sản xuất Passwordstate, trình quản lý mật khẩu cấp doanh nghiệp để lưu trữ thông tin xác thực ...

Google đã phát hiện ra một chiêu trò lừa đảo mới—và cũng trở thành nạn nhân của nó. Phần mềm & Bảo mật
10/02/2026

Google đã phát hiện ra một chiêu trò lừa đảo mới—và cũng trở thành nạn nhân của nó.

Vào tháng 6, Google nói rằng nó đã khai quật được một chiến dịch là các tài khoản thỏa hiệp hàng ...

Dưới đây là cách thức hoạt động của các cuộc tấn công lừa đảo qua điện thoại bằng deepfake và lý do tại sao chúng khó bị phát hiện. Phần mềm & Bảo mật
10/02/2026

Dưới đây là cách thức hoạt động của các cuộc tấn công lừa đảo qua điện thoại bằng deepfake và lý do tại sao chúng khó bị phát hiện.

Đến bây giờ, bạn có thể đã nghe nói về các cuộc gọi gian lận sử dụng AI để sao chép giọng nói của ...

Tin tặc lừa đảo qua điện thoại lại ra tay, lần này nhắm vào Cisco. Phần mềm & Bảo mật
10/02/2026

Tin tặc lừa đảo qua điện thoại lại ra tay, lần này nhắm vào Cisco.

Cisco nói rằng một trong những đại diện của họ đã trở thành nạn nhân của một cuộc tấn công lừa đảo ...

Thông báo

0917111899

Menu

Ngành hàng

Hotline

0917111899 - 0914140366

Email

kinhdoanh@itw.vn

Copyright 2025 © THẾ GIỚI TIN HỌC