ثغرة خطيرة في WinRAR تُستغل من قبل مجموعات قرصنة روسية

حذّرت شركة الأمن السيبراني ESET من وجود ثغرة أمنية خطيرة من نوع Zero-Day في برنامج ضغط الملفات الشهير WinRAR، يجري استغلالها حاليًا من قبل مجموعتي قرصنة روسيتين.

اكتشاف الثغرة وتفاصيل الاستغلال

قالت ESET إنها رصدت النشاط المشبوه لأول مرة في 18 يوليو، قبل أن تؤكد في 24 يوليو أن السلوك مرتبط بثغرة غير معروفة سابقًا في WinRAR، الذي يضم أكثر من 500 مليون مستخدم. تم إخطار مطوري البرنامج في اليوم نفسه، وأصدروا تحديثًا بعد ستة أيام.

الثغرة، التي تم تعقبها بالرمز CVE-2025-8088، تستغل ميزة في ويندوز تُعرف بـ Alternate Data Streams، ما يسمح بتنفيذ هجوم Path Traversal لزرع ملفات تنفيذية خبيثة في مسارات حساسة مثل %TEMP% و%LOCALAPPDATA%، وهي مواقع محمية عادةً لخطورتها.

المجموعات المتورطة

وفقًا لـ ESET، الهجوم الرئيسي تقوده مجموعة RomCom، وهي جهة إجرامية معروفة بامتلاك موارد كبيرة وخبرة متقدمة في استغلال الثغرات. هذا هو ثالث استغلال لثغرة صفرية من قبل المجموعة في هجمات حية.

لكنها لم تكن الوحيدة؛ فقد أعلنت شركة الأمن الروسية BI.ZONE أن مجموعة أخرى تُعرف باسم Paper Werewolf أو GOFFEE استغلت نفس الثغرة إلى جانب ثغرة أخرى CVE-2025-6218، مستخدمةً أرشيفات مرفقة برسائل تنتحل هوية موظفي معاهد أبحاث روسية. الهدف النهائي كان تثبيت برمجيات تمنح المهاجمين وصولًا كاملًا إلى أنظمة الضحايا.

طرق الهجوم وسلاسل التنفيذ

رصدت ESET ثلاث طرق رئيسية للهجوم:

السلسلة الأولى: زرع ملف DLL خبيث عبر تقنية COM Hijacking، ليتم تشغيله بواسطة تطبيقات مثل Microsoft Edge، ومن ثم تنزيل أداة تحكم عن بُعد مخصصة تدعى Mythic Agent.

السلسلة الثانية: تشغيل ملف تنفيذي خبيث لتثبيت برمجية SnipBot المرتبطة بـ RomCom، مع آليات لتعطيل التحليل في بيئات الاختبار الافتراضية.

السلسلة الثالثة: استخدام برمجيات خبيثة أخرى مثل RustyClaw وMelting Claw.

خطورة WinRAR كوسيلة للهجوم

يُعتبر WinRAR هدفًا مثاليًا للمهاجمين نظرًا لانتشاره الواسع وغياب آلية تحديث تلقائي، ما يترك ملايين الأجهزة عرضة للخطر إذا لم يقم المستخدمون بتحديث البرنامج يدويًا. النسخة 7.13 هي الأحدث حاليًا وتشمل إصلاح جميع الثغرات المعروفة، لكن استمرار ظهور ثغرات جديدة يجعل من الضروري متابعة التحديثات بانتظام.