CVE-2025-8088 탐지: WinRAR 제로데이, RomCom 악성코드 설치 위해 활발히 악용 중
목차:
한여름이 절정에 달하면서 사이버 위협 환경도 빠르게 뜨거워지고 있습니다. 최근 공개된 CVE-2025-8292, 크롬 미디어 스트림의 use-after-free 취약점에 이어 보안 연구진은 새로운 WinRAR 제로데이 취약점이 악용되어 RomCom 악성코드가 배포되는 활동을 발견했습니다.
CVE-2025-8088로 추적되는 이 WinRAR 윈도우 버전의 경로 탐색(Path Traversal) 취약점은 악의적으로 조작된 압축 파일을 통해 공격자가 임의 코드를 실행할 수 있도록 허용합니다. 캠페인의 정확한 공격 방식과 배후 위협 행위자는 아직 밝혀지지 않았으나, RomCom 백도어 사용은 러시아 출신 해킹 그룹의 개입 가능성을 시사합니다.
RomCom 배포용 CVE-2025-8088 공격 시도 탐지하기
올해 NIST에 등록된 신규 취약점이 29,000건을 넘어서면서 사이버보안팀들의 경쟁이 치열해지고 있습니다. 취약점 악용이 주요 공격 벡터로 자리 잡은 가운데, 점점 정교해지는 사이버 위협에 맞서 사전 탐지가 공격 표면 감소와 위험 완화에 필수적입니다.
지금 SOC Prime 플랫폼에 등록하세요. 방대한 맥락 기반 탐지 규칙 라이브러리와 AI 기반 위협 인텔리전스를 통해 최신 취약점 악용 공격에 한발 앞서 대응할 수 있습니다. 이 플랫폼은 RomCom 배포를 위한 최신 WinRAR 제로데이 악용 탐지 규칙을 엄선하여 제공하며, AI 탐지 엔지니어링, 자동화 위협 헌팅, 고급 탐지를 위한 완벽한 제품군을 갖추고 있습니다. 아래 탐지 규칙 살펴보기 버튼을 클릭해 관련 탐지 스택을 확인하세요.
사이버 방어 담당자는 위협 탐지 마켓플레이스에서 “RomCom” 및 “CVE-2025-8088” 태그를 이용해 맞춤형 콘텐츠를 탐색할 수 있습니다. 취약점 악용 관련 탐지 규칙 전체 컬렉션을 보려면 “CVE” 태그를 적용하세요.
또한, 보안 전문가들은 Uncoder AI를 활용해 위협 인텔리전스 기반 탐지 엔지니어링을 간소화할 수 있습니다. 원시 위협 보고서에서 탐지 알고리즘을 생성하고, 빠른 IOC 검색을 지원하며, ATT&CK 태그 예측, AI 기반 쿼리 코드 최적화, 다양한 SIEM, EDR, 데이터 레이크 언어 간 번역까지 제공합니다. 예를 들어, 보안 전문가들은 최신 Bleeping Computer 기사를 참고해 CVE-2025-8088 관련 공격 흐름 다이어그램을 몇 번의 클릭만으로 생성할 수 있습니다.
CVE-2025-8088 취약점 분석
보안 연구진은 CVE-2025-8088로 추적되는 WinRAR 취약점이 제로데이로서 표적 피싱 캠페인에서 RomCom 악성코드 확산에 적극 활용되고 있음을 밝혔습니다. 이 경로 탐색 취약점은 윈도우 버전 WinRAR에 영향을 주며, 악성 압축 파일을 조작해 임의 코드 실행을 가능하게 합니다.
공식 권고문에 따르면, WinRAR 초기 버전들(Windows RAR, UnRAR, 휴대용 UnRAR 소스 코드 및 UnRAR.dll 포함)은 파일 추출 과정에서 악의적으로 조작된 경로를 정상 경로 대신 사용하도록 속을 수 있습니다. 이로 인해 공격자는 권한 없는 위치에 파일을 배치할 수 있습니다.
구체적으로, 공격자는 사용자별 %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup 또는 시스템 전역 %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp 의 자동 실행 폴더에 악성 실행 파일을 추출하도록 조작할 수 있습니다. 이로 인해 사용자가 다음 로그인 시 악성코드가 자동 실행되어 원격 코드 실행으로 RomCom 백도어 설치가 가능해집니다.
특히, Unix용 RAR, UnRAR, 휴대용 UnRAR 소스 코드, UnRAR 라이브러리, 안드로이드용 RAR은 이 취약점에 영향을 받지 않습니다.
RomCom 악성코드 계열은 UAT-5647, Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 등 여러 별명을 가진 러시아계 해킹 집단과 연관되어 있습니다. 이 그룹은 악명 높은 Cuba 랜섬웨어 작전의 배후로도 알려져 있습니다. 2019년부터 활동해온 이들은 RomCom RAT, SystemBC 등 다양한 악성코드를 배포하는 것으로 유명합니다. 2022년에는 우크라이나 정부 기관을 대상으로 RomCom 백도어를 이용한 공격을 수행해 모스크바 정부를 위한 사이버 첩보 활동 연관 가능성을 시사했습니다.
이 취약점은 ESET 연구원 Anton Cherepanov, Peter Košinár, Peter Strýček에 의해 발견되어 공급사에 보고되었으며, 2025년 7월 30일에 출시된 WinRAR 7.13 버전에서 해결되었습니다. 사용자들은 안전한 버전으로 신속히 업데이트할 것이 권고됩니다. 또한, 보안팀은 AI, 자동화 기능, 실시간 위협 인텔을 기반으로 하는 SOC Prime의 완벽한 제품군을 통해 공격자보다 한발 앞서 잠재적 취약점 악용 시도를 사전 탐지하고 조직 방어력을 확장할 수 있습니다.
