原创 威胁情报中心 2025-08-21 15:08 北京
近期,BI.ZONE监测到Paper Werewolf组织利用WinRAR的两个路径遍历漏洞发动攻击,展现了其攻击能力。本报告将深入剖析纸狼人组织的攻击技术、历史活动以及所利用的WinRAR漏洞技术细节,为安全专家提供应对此类威胁的参考
引言
🔍 Paper Werewolf组织利用WinRAR的两个路径遍历漏洞(CVE-2025-8088 和 CVE-2025-6218)发动攻击,主要针对俄罗斯及独联体国家的关键基础设施,展现了其高级技术能力和明确的地缘政治目标。
📧 攻击链始于精心设计的钓鱼邮件,伪装成来自研究机构、市政管理部门或电网公司的合法通信,附带特制的 RAR 压缩包,利用 WinRAR 路径遍历缺陷,将恶意 DLL、EXE 及 LNK 文件隐藏于'备用数据流'(ADS)中。
📂 当受害者解压时,攻击者利用 WinRAR 路径遍历缺陷,将恶意文件释放到 %TEMP%、%LOCALAPPDATA% 等临时目录,以及 Windows 启动目录,从而实现在系统启动时自动运行恶意程序。
🔐 纸狼人组织在此次攻击中展现了精准社会工程学、利用 ADS 隐藏恶意载荷、路径遍历技术、持久化机制和混淆技术等,提高了攻击的成功率和隐蔽性。
🔄 纸狼人组织的攻击手法技术升级路径清晰可见,从最初的钓鱼邮件附带恶意宏文档,到使用更复杂的钓鱼技术和定制恶意软件 PowerModul,再到近期利用高危 WinRAR 漏洞,展现出其不断提升的技术能力和威胁水平。
原创 威胁情报中心 2025-08-21 15:08 北京
近期,BI.ZONE监测到Paper Werewolf组织利用WinRAR的两个路径遍历漏洞发动攻击,展现了其攻击能力。本报告将深入剖析纸狼人组织的攻击技术、历史活动以及所利用的WinRAR漏洞技术细节,为安全专家提供应对此类威胁的参考
能源行业:能源行业作为关键基础设施,一直是高级持续性威胁组织的重点目标 。
金融机构:金融机构持有大量敏感数据和财务信息,是高价值攻击目标。
媒体行业:可能旨在获取未发布的新闻素材或影响信息传播。电信公司:可能意在监控通信或建立长期持久化访问。
建筑公司:可能与关键基础设施建设相关。
这些攻击活动对目标机构造成了多方面的影响,包括数据泄露、网络渗透、业务中断和持续性威胁。值得注意的是,BI.ZONE 指出,该组织至少有一次干扰了被攻陷网络的正常运营,表明其不仅限于信息窃取,还具备实施破坏性攻击的能力和意愿。发展阶段(2023-2024年):开始使用更复杂的钓鱼技术,邮件伪装更加精细,针对性更强。同时,开始开发和部署定制恶意软件,如 PowerModul 后门,具备更强的隐蔽性和持久性。
成熟阶段(2024年下半年):PowerModul 后门功能更加完善,增加了 FlashFileGrabber 和 USB Worm 等专用组件,能够通过可移动存储设备传播,实现对隔离网络的渗透。这一阶段表明该组织已经具备了针对高价值目标进行持续性攻击的能力。
高级阶段(2025年):开始利用高危零日漏洞,如 WinRAR 的路径遍历漏洞(CVE-2025-8088 和 CVE-2025-6218),实现更隐蔽、更高效的攻击。这一阶段的攻击几乎不需要用户交互,只要用户解压缩恶意文件,就会触发攻击,大大提高了攻击成功率。
这种技术升级路径表明,纸狼人组织正在不断提升其技术能力和攻击效率,从简单的社会工程学攻击发展到能够利用高危零日漏洞的高级持续性威胁。这种演进趋势值得安全专家高度关注。备用数据流不会在标准文件浏览器中显示,也不会影响文件大小的报告,这使其成为隐藏数据的理想选择。ADS在CVE-2025-8088漏洞利用中的应用在纸狼人组织利用CVE-2025-8088漏洞的攻击中,ADS技术被用于构造特殊的RAR文件,以实现恶意代码的隐蔽部署。攻击者利用WinRAR处理ADS的方式和路径遍历漏洞的组合,创建了一种高度隐蔽的攻击向量。攻击者构造的RAR文件包含以下技术元素:ADS条目构造:攻击者在RAR文件中创建多个ADS条目,每个条目都包含特定的文件路径和数据。这些ADS条目使用格式"filename:streamname",其中filename部分包含路径遍历字符序列(如".."),用于指向目标系统的关键目录。路径遍历技术:攻击者在ADS条目的文件名部分嵌入路径遍历序列,例如"........\Windows\Start Menu\Programs\Startup\malicious.lnk:hidden"。当WinRAR处理这些条目时,由于CVE-2025-8088漏洞,它无法正确验证和限制这些路径,导致文件被写入到预期目录之外的位置。多层隐蔽技术:攻击者在RAR文件中包含大量指向无效路径的ADS条目,这些条目会在WinRAR界面中生成警告消息,有效掩盖了真正的恶意ADS条目。这种技术利用了用户对重复警告的忽视心理,降低了被发现的可能性。载荷分离:攻击者将攻击载荷分离为多个组件,存储在不同的ADS中。典型配置包括: 将LNK文件(Windows快捷方式)放置在启动目录; 将DLL或EXE文件放置在临时目录; 将配置数据或加密的Shellcode放置在其他位置。执行链构建:LNK文件被设计为执行链的入口点,通常配置为执行系统合法程序(如cmd.exe或powershell.exe),并传递特定参数以加载恶意DLL或执行其他命令。这种技术利用了Windows对启动目录中LNK文件的自动执行机制。ADS与WinRAR漏洞的技术结合点WinRAR在处理RAR文件中的ADS条目时存在以下技术缺陷:路径规范化不完整:WinRAR在处理包含ADS的文件路径时,未能正确规范化路径字符串,导致路径遍历序列(如"..")被保留并在文件系统操作中生效。ADS解析逻辑缺陷:当WinRAR遇到格式为"filename:streamname"的条目时,它未能正确识别和处理ADS语法,而是将整个字符串视为单一文件路径,导致ADS部分被错误地解释为文件名的一部分。权限检查绕过:WinRAR在解压文件时未能对目标路径执行足够的权限和安全性检查,允许写入操作发生在用户未明确授权的目录中。用户界面问题:WinRAR的用户界面在显示包含大量ADS条目的RAR文件内容时,无法有效地突出显示潜在危险的条目,使用户难以识别恶意内容。这些技术缺陷的组合使攻击者能够构造特殊的RAR文件,在用户解压时将恶意代码部署到系统关键位置,而无需额外的用户交互或提权操作。攻击执行流程在纸狼人组织的攻击中,ADS技术在攻击链中的具体应用流程如下:初始访问:攻击者通过钓鱼邮件向目标发送包含特制RAR文件的附件。用户交互:当用户解压RAR文件时,WinRAR处理文件中的所有条目,包括隐藏的ADS条目。漏洞触发:由于CVE-2025-8088漏洞,WinRAR错误地处理ADS条目中的路径遍历序列,将文件写入到系统关键位置: 恶意LNK文件被写入到"%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"目录 恶意DLL文件被写入到"%TEMP%"或"%LOCALAPPDATA%\Temp"目录 其他辅助文件被写入到预定位置持久化建立:一旦文件被部署到相应位置,攻击就建立了持久化机制,无需额外的用户交互。执行触发:当用户下次登录系统时,启动目录中的LNK文件自动执行,触发恶意代码的加载和执行。远程控制建立:执行的恶意代码解密并加载Shellcode,建立与命令控制(C2)服务器的连接,允许攻击者远程控制受感染系统。这种攻击方法的技术优势在于,它不需要提权操作,不会触发大多数安全软件的行为检测,并且能够在用户不知情的情况下建立持久化访问。影响范围与修复措施受CVE-2025-8088漏洞影响的系统包括:WinRAR Windows版 - 所有桌面端安装版本RAR/UnRAR命令行工具 - Windows版本UnRAR.dll及便携版UnRAR - 动态链接库与独立版本受影响版本范围 - 0至7.12所有版本值得注意的是,Linux/Unix版本及RAR安卓版不受影响该漏洞影响WinRAR 0至7.12所有版本,意味着几乎所有现有安装都需要立即更新。路径遍历机制可使恶意压缩包突破预设解压目录,可能覆盖系统文件或将可执行代码置于操作系统自动执行的位置。此类攻击可导致系统完全沦陷、数据窃取或额外恶意软件投放。2025年7月30日,WinRAR发布了7.13版本修复CVE-2025-8088漏洞。然而,由于WinRAR缺乏自动更新功能,用户需自行手动下载安装新版,导致补丁覆盖率有限。美国网络安全和基础设施安全局(CISA)已将该漏洞列入其已知被利用漏洞目录,要求联邦机构在2025年9月2日前完成缓解措施部署。HANDLE hFile = CreateFile(L"example.txt:hidden",GENERIC_WRITE,0,NULL,OPEN_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL);
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑