-
09/04/2020
-
123
-
1.405 bài viết
WinRAR dính lỗ hổng nghiêm trọng, nhiều nhóm APT khai thác mở rộng tấn công gián điệp
Một lỗ hổng bảo mật mới trong WinRAR vừa được CISA đưa vào danh sách lỗ hổng đang bị khai thác thực tế (KEV). Việc một công cụ quen thuộc như WinRAR trở thành điểm yếu cho các chiến dịch tấn công có chủ đích đã nhanh chóng gây lo ngại cho cộng đồng an ninh mạng, đặc biệt khi nhiều nhóm APT tại Nga, Nam Á và Đông Âu đã khai thác lỗ hổng này để cài mã độc, đánh cắp dữ liệu và duy trì quyền kiểm soát lâu dài trong hệ thống nạn nhân.
Cơ chế tấn công dựa trên việc lừa người dùng truy cập trang web độc hại hoặc mở tập tin RAR/PDF/TXT được chuẩn bị đặc biệt. Khi nạn nhân mở file, WinRAR vô tình giải nén các file độc hại ra đúng thư mục mà kẻ tấn công mong muốn. RARLAB cảnh báo lỗ hổng có thể bị dùng để ghi file vào thư mục Startup của Windows, khiến mã độc tự động chạy mỗi khi hệ thống khởi động.
Theo phân tích của BI.ZONE hồi tháng 8/2025 cho thấy nhóm gián điệp GOFFEE đã kết hợp CVE-2025-6218 cùng một lỗ hổng WinRAR khác, CVE-2025-8088 (CVSS 8,8), để phát tán mã độc qua email lừa đảo.
Sau đó, Foresiet tiếp tục xác nhận nhóm APT Bitter (hoạt động mạnh tại Nam Á) sử dụng lỗ hổng để tạo điểm bám vào Windows và triển khai một trojan viết bằng C#. Kỹ thuật của Bitter tinh vi ở chỗ họ sử dụng một file RAR chứa Word tài liệu bình thường nhưng lại nhúng template macro độc hại.
Đáng chú ý, Gamaredon còn tận dụng thêm CVE-2025-8088 để phát tán mã độc Visual Basic Script và thậm chí tung ra GamaWiper (một công cụ phá hủy dữ liệu). Đây là lần đầu tiên nhóm này thực hiện tấn công phá hoại thay vì chỉ thu thập thông tin như trước.
Lỗ hổng WinRAR cho thấy những công cụ tưởng chừng vô hại lại có thể trở thành cửa ngõ cho các chiến dịch tấn công gián điệp tinh vi. Việc nhiều nhóm APT có động cơ chính trị, quân sự cùng lúc khai thác CVE-2025-6218 và các lỗ hổng liên quan nhấn mạnh mức độ nguy hiểm của các tệp nén đính kèm email (một kỹ thuật tưởng chừng cũ nhưng vẫn hiệu quả). Các tổ chức, đặc biệt trong lĩnh vực chính phủ, ngoại giao và doanh nghiệp lớn, cần coi sự cố này như một bài học quan trọng về việc duy trì quy trình cập nhật phần mềm liên tục và đào tạo người dùng trong nhận diện rủi ro từ file đính kèm.
Path Traversal dẫn đến thực thi mã độc
Lỗ hổng có mã số CVE-2025-6218, được chấm điểm CVSS 7,8 thuộc dạng path traversal, cho phép tin tặc ghi file trái phép vào các thư mục nhạy cảm của Windows. Lỗ hổng xuất hiện trong phiên bản WinRAR dành cho Windows, đã được RARLAB khắc phục từ bản WinRAR 7.12 phát hành tháng 6/2025.Cơ chế tấn công dựa trên việc lừa người dùng truy cập trang web độc hại hoặc mở tập tin RAR/PDF/TXT được chuẩn bị đặc biệt. Khi nạn nhân mở file, WinRAR vô tình giải nén các file độc hại ra đúng thư mục mà kẻ tấn công mong muốn. RARLAB cảnh báo lỗ hổng có thể bị dùng để ghi file vào thư mục Startup của Windows, khiến mã độc tự động chạy mỗi khi hệ thống khởi động.
Lỗ hổng bị phát hiện và khai thác như thế nào?
Trước khi CISA đưa vào KEV, nhiều hãng an ninh mạng gồm BI.ZONE, Foresiet, SecPod và Synaptic Security đã công bố bằng chứng cho thấy lỗ hổng này bị các nhóm APT khai thác trong nhiều chiến dịch riêng rẽ.Theo phân tích của BI.ZONE hồi tháng 8/2025 cho thấy nhóm gián điệp GOFFEE đã kết hợp CVE-2025-6218 cùng một lỗ hổng WinRAR khác, CVE-2025-8088 (CVSS 8,8), để phát tán mã độc qua email lừa đảo.
Sau đó, Foresiet tiếp tục xác nhận nhóm APT Bitter (hoạt động mạnh tại Nam Á) sử dụng lỗ hổng để tạo điểm bám vào Windows và triển khai một trojan viết bằng C#. Kỹ thuật của Bitter tinh vi ở chỗ họ sử dụng một file RAR chứa Word tài liệu bình thường nhưng lại nhúng template macro độc hại.
Phân tích cơ chế tấn công
Chiến dịch của Bitter cho thấy rõ cách tin tặc lợi dụng path traversal:- File RAR được gửi kèm email spear-phishing.
- Bên trong chứa tài liệu Word hợp pháp và một file macro template được đổi tên.
- Khi người dùng mở file RAR, WinRAR tự giải nén và ghi đè template của Word (Normal.dotm) vào thư mục toàn cục của ứng dụng.
- Từ thời điểm đó, mỗi khi Word được mở, macro độc hại tự chạy và mở đường cho trojan C# được tải xuống.
- Trojan kết nối về máy chủ C2 qua tên miền johnfashionaccess[.]com để thu thập thông tin như keylogging, chụp màn hình, đánh cắp mật khẩu RDP và gửi dữ liệu ra ngoài.
Gamaredon: từ gián điệp sang phá hoại
CVE-2025-6218 cũng được nhóm Gamaredon sử dụng trong các cuộc tấn công ngầm vào quân đội, chính phủ và cơ quan hành chính một số quốc gia. Lỗ hổng bị dùng để triển khai Pteranodon, một loại malware giúp tin tặc theo dõi và kiểm soát máy tính nạn nhân.Đáng chú ý, Gamaredon còn tận dụng thêm CVE-2025-8088 để phát tán mã độc Visual Basic Script và thậm chí tung ra GamaWiper (một công cụ phá hủy dữ liệu). Đây là lần đầu tiên nhóm này thực hiện tấn công phá hoại thay vì chỉ thu thập thông tin như trước.
Rủi ro và mức độ ảnh hưởng
Dù lỗ hổng yêu cầu người dùng mở file độc hại, nguy cơ vẫn rất lớn vì:- WinRAR được sử dụng ở hầu hết máy tính doanh nghiệp và cá nhân.
- File RAR, ZIP, DOC… là loại tệp rất phổ biến, dễ bị người dùng mở nhầm.
- Lỗ hổng cho phép ghi file vào thư mục hệ thống mà không cần đặc quyền cao.
- Khi mã độc nằm trong Startup hoặc template Word, nó có thể tồn tại lâu dài mà khó bị phát hiện.
Giải pháp khuyến nghị
Lỗ hổng đã có bản vá từ WinRAR 7.12, tuy nhiên vẫn còn lượng lớn người dùng dùng bản cũ. Các chuyên gia an ninh mạng khuyến nghị:- Cập nhật ngay WinRAR lên bản mới nhất hoặc gỡ bỏ nếu không cần thiết.
- Hạn chế mở file RAR/ZIP nhận qua email, đặc biệt từ người lạ, hoặc tài liệu có tiêu đề liên quan công việc nhạy cảm.
- Kích hoạt bảo vệ macro trong Microsoft Office, kiểm tra thư mục Normal.dotm xem có dấu hiệu bị thay thế.
- Theo dõi hành vi bất thường như tự động mở Word, xuất hiện tiến trình lạ, máy chậm bất thường.
- Doanh nghiệp nên triển khai EDR, có khả năng phát hiện kỹ thuật tấn công như DLL hijacking, keylogging và exfiltration.
- Rà soát hệ thống để phát hiện file đã bị ghi trái phép vào Startup hoặc các thư mục ứng dụng.
Lỗ hổng WinRAR cho thấy những công cụ tưởng chừng vô hại lại có thể trở thành cửa ngõ cho các chiến dịch tấn công gián điệp tinh vi. Việc nhiều nhóm APT có động cơ chính trị, quân sự cùng lúc khai thác CVE-2025-6218 và các lỗ hổng liên quan nhấn mạnh mức độ nguy hiểm của các tệp nén đính kèm email (một kỹ thuật tưởng chừng cũ nhưng vẫn hiệu quả). Các tổ chức, đặc biệt trong lĩnh vực chính phủ, ngoại giao và doanh nghiệp lớn, cần coi sự cố này như một bài học quan trọng về việc duy trì quy trình cập nhật phần mềm liên tục và đào tạo người dùng trong nhận diện rủi ro từ file đính kèm.
WhiteHat