أطلقت Google تحذيراً عاجلاً من موجة استغلال نشط واسعة النطاق تستهدف ثغرة أمنية خطيرة في أداة WinRAR على نظام Windows، مشيرة إلى أن جهات تهديد ذات دوافع تجسسية ومالية تتقاطع حالياً في استخدام أسلوب واحد مكرر يقوم بزرع ملفات خبيثة داخل مجلد Startup لضمان التشغيل التلقائي عند كل دخول.
وتحمل الثغرة المعرف CVE-2025-8088 وتصنف عالية الخطورة. وتعود إلى خلل من نوع Path Traversal يتيح إنشاء أرشيفات RAR خبيثة قادرة على تجاوز المسار المحدد للاستخراج والوصول إلى مواقع غير مصرح بها داخل النظام، ما يسمح بتنفيذ تعسفي للشفرة.
يستغل المهاجمون هذه الثغرة من خلال استغلال خاصية Alternate Data Streams في نظام NTFS، حيث تخزن ملفات الطعم مع ملف LNK داخل ADS ثم تستخرج نحو مجلد Startup عبر مسار معد خصيصاً، ما يسمح بتشغيل الحمولة الخبيثة فور إعادة تشغيل الجهاز.
استغلال ميداني موثق وامتداد الهجوم بعد التصحيح
وفقاً لشركة ESET التي اكتشفت الثغرة، بدأ الاستغلال الفعلي لها في 18 يوليو 2025 من خلال ملفات تصيد تشبه مستندات طلبات التوظيف، وجرى بعدها إخطار مطوري WinRAR الذين أطلقوا تحديثاً في 30 يوليو بالإصدار 7.13.
ورغم صدور التحديث، استمرت أنشطة الاستغلال، ما دفع وكالة CISA الأميركية إلى إدراج الثغرة في قائمتها الرسمية للثغرات المستغلة فعلياً (KEV) في 12 أغسطس 2025، وفرضت موعداً نهائياً لتطبيق التصحيح في الجهات الفيدرالية بحلول 2 سبتمبر.
الجهات الفاعلة: جغرافيا متعددة وأهداف متنوعة
توثق Google ثلاث دوائر فاعلة وراء استغلال الثغرة:
- جهات روسية تستهدف أوكرانيا، تشمل:
- UNC4895 المعروفة باسم RomCom، استخدمت برمجيات SnipBot.
- APT44 المرتبطة بـ Sandworm، استغلت ملفات طُعم أوكرانية لتسليم ملفات LNK.
- Gamaredon وTurla، استخدمتا الثغرة لتثبيت حمولة المرحلة الثانية باستخدام HTA أو أدوات مثل STOCKSTAY.
- جهة صينية وظّفت الثغرة لنشر برمجية POISONIVY عبر ملف BAT.
- عصابات مالية استغلت الثغرة بسرعة، من أبرز الأمثلة:
- حملة في إندونيسيا استخدمت Dropbox لتسليم باب خلفي متصل بـTelegram.
- رسائل تصيد في أميركا اللاتينية استهدفت قطاع الضيافة ببرمجيات XWorm وAsyncRAT.
- حالة في البرازيل استهدفت صفحات مصرفية بإضافة Chrome خبيثة تحقن JavaScript لسرقة بيانات الدخول.
وتعزي Google تسارع انتشار الاستغلال إلى جهة تدعى zeroplayer، عرضت بيع استغلال للثغرة في يوليو 2025، ولا تزال تبيع حزم ثغرات بأسعار مرتفعة، ما يشير إلى نموذج الثغرة كمنتج في السوق السوداء.
التوصيات العاجلة
توصي Google والمؤسسات الأمنية بـ:
- التحديث الفوري لـ WinRAR إلى الإصدار 7.13 أو أعلى.
- الحذر الشديد من أرشيفات RAR غير المتوقعة.
- تقوية قدرات التحري المؤسساتية عن المؤشرات المرتبطة بالاختراق.
- اعتماد أدوات Gmail وGoogle Safe Browsing التي بدأت فعلياً بحظر الملفات المحتوية على استغلال الثغرة.
أدرجت Google أيضاً مؤشرات اختراق ضمن مجموعة مخصصة على VirusTotal لمساعدة المحققين والمستخدمين المحترفين في اكتشاف الهجمات.
