مجله چندسو
اخبار داغ
بهترین دمنوش برای گرمازدگی + عکس انواع گذرنامه برای زیارت اربعین 1404 بیوگرافی کامل بهاره رهنما+ ازدواج و عکسهای خانوادگی اش علی اوجی چرا با جورجینا عکس گرفت؟+ فیلم ماجرایی که خودش بالاخره لو داد روش پخت کتلت ایتالیایی خوشمزه و ساده
  1. مجله چندسو
  2. تکنولوژی
  3. حمله سایبری به آسیب‌پذیری روز صفر WinRAR؛ چگونه گروه‌های روسی از آن برای آلوده‌کردن سیستم‌ها استفاده کردند؟
حمله سایبری به آسیب‌پذیری روز صفر WinRAR؛ چگونه گروه‌های روسی از آن برای آلوده‌کردن سیستم‌ها استفاده کردند؟

حمله سایبری به آسیب‌پذیری روز صفر WinRAR؛ چگونه گروه‌های روسی از آن برای آلوده‌کردن سیستم‌ها استفاده کردند؟

تصور کنید یک فایل فشرده ظاهرا بی‌ضرر که از طریق ایمیل برایتان فرستاده شده، تنها با بازکردن، کنترل کامل سیستم شما را به دست مهاجم می‌دهد. این سناریو در هفته‌های اخیر برای بسیاری از کاربران WinRAR واقعیت پیدا کرده است. یک آسیب‌پذیری روز صفر (Zero-Day) در این نرم‌افزار محبوب، توسط دو گروه مجرمان...

تصور کنید یک فایل فشرده ظاهرا بی‌ضرر که از طریق ایمیل برایتان فرستاده شده، تنها با بازکردن، کنترل کامل سیستم شما را به دست مهاجم می‌دهد. این سناریو در هفته‌های اخیر برای بسیاری از کاربران WinRAR واقعیت پیدا کرده است. یک آسیب‌پذیری روز صفر (Zero-Day) در این نرم‌افزار محبوب، توسط دو گروه مجرمان سایبری روسی مورد سوءاستفاده قرار گرفته و راهی برای نفوذ به مسیرهای سیستمی حساس باز کرده است. این نقص امنیتی، که با شناسه CVE-2025-8088 ثبت شده، به مهاجمان امکان داده تا کد مخرب خود را در بخش‌هایی از ویندوز که معمولاً محافظت‌شده‌اند، قرار دهند.

با توجه به نصب فعال WinRAR روی بیش از ۵۰۰ میلیون دستگاه در سراسر جهان، دامنه خطر به‌شدت گسترده است. شرکت امنیتی ESET نخستین بار در ۱۸ ژوئیه متوجه این حملات شد و تنها شش روز بعد از گزارش آن، به‌روزرسانی امنیتی عرضه شد. این حادثه بار دیگر نشان داد که حتی ابزارهای نرم‌افزاری قدیمی و شناخته‌شده نیز می‌توانند به هدف حملات پیشرفته بدل شوند، اگر کاربران به‌موقع به‌روزرسانی نکنند.

کشف آسیب‌پذیری و آغاز حملات

شرکت امنیتی ESET در جریان بررسی‌های خود، در ۱۸ ژوئیه به فایلی در مسیری غیرعادی روی یک سیستم آلوده برخورد. چند روز بعد، تیم تحقیقاتی این شرکت متوجه شد که رفتار فایل مربوط به سوءاستفاده از یک نقص ناشناخته در WinRAR است. این نقص به مهاجمان اجازه می‌داد با استفاده از ویژگی جریان‌های داده جایگزین (Alternate Data Streams) در ویندوز، یک آسیب‌پذیری «عبور از مسیر» (Path Traversal) را فعال کنند. این فرایند باعث می‌شد فایل‌های اجرایی مخرب در مسیرهایی مثل ‎%TEMP%‎ و ‎%LOCALAPPDATA%‎ ذخیره شوند، مسیرهایی که معمولاً توسط ویندوز برای جلوگیری از اجرای کد محافظت می‌شوند.

مهاجمان و شناسایی آن‌ها

ESET اعلام کرد که گروه روم‌کام (RomCom) که یک شبکه جرایم سایبری با انگیزه مالی و مستقر در روسیه است، مسئول اصلی بهره‌برداری از این حفره بوده است. این گروه پیش‌تر نیز دست‌کم سه بار از آسیب‌پذیری‌های روز صفر در حملات هدفمند استفاده کرده بود. توانایی روم‌کام در تهیه و استفاده از اکسپلویت‌ها (Exploits) نشان‌دهنده منابع مالی و فنی قابل‌توجه آن است. این گروه سابقه اجرای عملیات پیچیده و هدفمند علیه سازمان‌ها و افراد خاص را دارد و در این مورد نیز با استفاده از فایل‌های فشرده آلوده و پیام‌های فیشینگ شخصی‌سازی‌شده، قربانیان خود را انتخاب کرده است.

گروه دوم مهاجم و بهره‌برداری همزمان

در حالی که تحقیقات ESET روی گروه روم‌کام متمرکز بود، شرکت امنیتی روسی Bi.ZONE کشف کرد که یک گروه دیگر نیز به طور موازی از همین نقص امنیتی CVE-2025-8088 بهره‌برداری می‌کند. این گروه با نام پِیپر وِروولف (Paper Werewolf) یا با شناسه GOFFEE شناخته می‌شود و پیشینه‌ای در حملات سایبری با تمرکز بر نفوذ به زیرساخت‌های حساس دارد. نکته جالب این است که این گروه نه‌تنها از همین آسیب‌پذیری استفاده کرده، بلکه به طور همزمان نقص امنیتی دیگری در WinRAR با شناسه CVE-2025-6218 را هم هدف قرار داده است. این آسیب‌پذیری دوم پنج هفته پیش از انتشار وصله CVE-2025-8088 برطرف شده بود، اما ظاهراً قربانیان بسیاری همچنان نسخه به‌روزرسانی‌نشده را در سیستم‌های خود اجرا می‌کردند.

تحلیل امنیتی و پیامدها برای کاربران

حملات اخیر نشان می‌دهد که ابزارهایی مثل WinRAR، که سال‌ها در محیط‌های کاری و شخصی استفاده می‌شوند، می‌توانند بدون اطلاع کاربران به نقطه ضعف حیاتی در امنیت دیجیتال تبدیل شوند. سوءاستفاده همزمان دو گروه مجزا از یک نقص واحد، بیانگر جذابیت و ارزش بالای این آسیب‌پذیری برای مهاجمان است. از دید امنیتی، ترکیب ویژگی‌های خاص سیستم‌عامل ویندوز مانند Alternate Data Streams با حفره عبور از مسیر، امکان اجرای کد در بخش‌های محافظت‌شده را فراهم کرده و موانع معمول امنیتی را دور می‌زند. برای کاربران، این اتفاق به معنای ضرورت به‌روزرسانی فوری WinRAR و اجتناب از باز کردن هرگونه فایل فشرده ناشناخته، حتی اگر ظاهر بی‌خطر داشته باشد، است. همچنین سازمان‌ها باید سیاست‌های امنیتی سختگیرانه‌تری برای پایش و محدودسازی نرم‌افزارهای قدیمی اعمال کنند تا از تکرار چنین رخدادهایی جلوگیری شود.

خلاصه

در یک نگاه کلی می‌توان گفت آسیب‌پذیری روز صفر در WinRAR، با شناسه CVE-2025-8088، توسط دو گروه مجرمان سایبری روسی به طور همزمان مورد سوءاستفاده قرار گرفت. این نقص با استفاده از جریان‌های داده جایگزین ویندوز، به مهاجمان اجازه داد کد مخرب را در مسیرهای سیستمی حساس اجرا کنند. انتشار سریع وصله امنیتی اهمیت به‌روزرسانی به موقع را بیش از پیش روشن کرد. غفلت کاربران از نصب به‌روزرسانی‌ها، حتی در ابزارهای قدیمی، می‌تواند پیامدهای جدی برای امنیت داده‌ها و سیستم‌ها به همراه داشته باشد.

سوالات رایج (FAQ)

۱. آسیب‌پذیری CVE-2025-8088 چیست؟
یک نقص امنیتی روز صفر در WinRAR که با استفاده از جریان‌های داده جایگزین ویندوز امکان اجرای کد مخرب در مسیرهای محافظت‌شده را فراهم می‌کند.

۲. چه گروه‌هایی از این آسیب‌پذیری سوءاستفاده کرده‌اند؟
دو گروه روسی به نام‌های روم‌کام (RomCom) و پِیپر وِروولف (Paper Werewolf) همزمان این نقص را هدف قرار دادند.

۳. خطر این آسیب‌پذیری برای کاربران چیست؟
بازکردن فایل‌های فشرده آلوده می‌تواند باعث نصب بدافزار در سیستم و کنترل از راه دور توسط مهاجم شود.

۴. چگونه می‌توان از این حملات جلوگیری کرد؟
به‌روزرسانی فوری WinRAR به آخرین نسخه و اجتناب از باز کردن فایل‌های ناشناس یا مشکوک بهترین راه پیشگیری است.

۵. آیا نسخه‌های قبلی WinRAR همچنان آسیب‌پذیر هستند؟
بله، تمام نسخه‌های قدیمی که قبل از انتشار وصله امنیتی در مرداد ۱۴۰۴ عرضه شده‌اند، در برابر این نقص آسیب‌پذیرند.

منبع

  • منبع : یک پزشک
  • زمان انتشار : 1404/05/21
  • لینک اصلی خبر : https://www.1pezeshk.com/archives/2025/08/winrar-zero-day-exploited-by-russian-groups.html
  • تگ ها :

ثبت نظر

نظرات