كشفت جوجل عن استغلال جهات فاعلة متعددة، بما في ذلك خصوم تدعمهم دول وجماعات مالية، لثغرة أمنية حرجة في برنامج WinRAR، تم تصحيحها في يوليو 2025، وذلك بهدف اختراق الأنظمة ونشر برمجيات خبيثة متنوعة.
تُعرف الثغرة بـ CVE-2025-8088، وقد سمحت للمهاجمين بالوصول وتنفيذ أوامر بشكل تعسفي. وأكدت جوجل أن الجهات الخبيثة، بما في ذلك تلك المرتبطة بروسيا والصين، لا تزال تستغل هذه الثغرة القديمة في عمليات مختلفة، مما يشير إلى ضعف في الأمن التطبيقي ووعي المستخدم.
استغلال الثغرة الأمنية في WinRAR
صنفت جوجل الثغرة الأمنية CVE-2025-8088 على أنها حرجة، حيث تبلغ درجة خطورتها 8.8 وفقاً لمقياس CVSS. تم إصدار التحديث الذي عالج هذه الثغرة في الإصدار 7.13 من WinRAR بتاريخ 30 يوليو 2025.
وتسمح هذه الثغرة للمخترقين بتنفيذ تعليمات برمجية عشوائية على جهاز الضحية من خلال إعداد ملفات مضغوطة خبيثة. وبمجرد فتح هذه الملفات بواسطة إصدار قديم من البرنامج، يمكن للمهاجم السيطرة على النظام.
أنواع الجهات المستغلة للثغرة
بدأت شركة ESET، التي اكتشفت الثغرة، بمراقبة مجموعة التهديدات المعروفة باسم RomCom (المعروفة أيضاً بـ CIGAR أو UNC4895) وهي تستغل الثغرة كـ “يوم صفر” منذ 18 يوليو 2025. وقد استُخدمت هذه الثغرة لتوصيل نسخة من برمجية SnipBot الخبيثة.
ومع ذلك، فإن استغلال الثغرة لم يقتصر على هذه المجموعة. فقد لوحظ انتشار واسع لعمليات استغلال، حيث يتم إخفاء الملف الخبيث، غالباً ما يكون ملف اختصار لنظام ويندوز (LNK)، داخل مجلد بدء تشغيل ويندوز. وهذا يضمن تنفيذه تلقائياً عند تسجيل دخول المستخدم بعد إعادة تشغيل الجهاز.
جهات روسية وصينية تزيد من هجماتها
انضمت العديد من الجهات الفاعلة الأخرى، خاصة تلك المرتبطة بروسيا، إلى حملة استغلال هذه الثغرة. ومن بين هذه الجهات:
- مجموعة Sandworm (المعروفة أيضاً بـ APT44 و FROZENBARENTS)، والتي استخدمت الثغرة لإسقاط ملف خبيث مع اسم ملف أوكراني، بهدف تحميل المزيد من البرامج الضارة.
- مجموعة Gamaredon (المعروفة أيضاً بـ CARPATHIAN)، التي استهدفت وكالات حكومية أوكرانية بملفات RAR خبيثة تحتوي على تطبيقات HTML (HTA) تعمل كمحمل للمرحلة التالية من الهجوم.
- مجموعة Turla (المعروفة أيضاً بـ SUMMIT)، والتي استغلت الثغرة لتوصيل مجموعة برمجيات STOCKSTAY الخبيثة، مع التركيز على أنشطة عسكرية أوكرانية وطائرات بدون طيار كطعم.
من جهة أخرى، كشف فريق جوجل للاستخبارات عن جهة فاعلة مقرها الصين تستغل الثغرة CVE-2025-8088 لنشر برمجية Poison Ivy. وتعتمد هذه الهجمات على إدخال نص برمجي (batch script) في مجلد بدء التشغيل، يقوم فيما بعد بتحميل برنامج خبيث.
بالإضافة إلى ذلك، تبنت جهات أخرى ذات دوافع مالية الثغرة بسرعة لنشر برامج وصول عن بعد (RATs) وبرامج سرقة المعلومات (information stealers) ضد أهداف تجارية. وأسفرت بعض هذه الهجمات عن نشر أبواب خلفية يتم التحكم فيها عبر بوتات تليجرام، بالإضافة إلى عائلات برمجيات خبيثة مثل AsyncRAT و XWorm.
آثار الاستغلال الواسع للثغرة
في حالة أخرى لافتة، استغل مجرمو الإنترنت، المعروفون باستهدافهم للمستخدمين البرازيليين عبر مواقعهم المصرفية، الثغرة لتوصيل إضافة خبيثة لمتصفح كروم. تهدف هذه الإضافة إلى حقن تعليمات برمجية خبيثة في صفحات مواقع البنوك البرازيلية لتقديم محتوى تصيدي وسرقة بيانات الاعتماد.
يُعزى الاستغلال الواسع لهذه الثغرة إلى سوق سوداء نشطة، حيث تم عرض استغلالات WinRAR بمبالغ تصل لآلاف الدولارات. وقد قام أحد المزودين، المعروف باسم “zeroplayer”، بتسويق استغلال لـ WinRAR في الفترة التي سبقت الكشف العلني عن الثغرة CVE-2025-8088.
ويرى فريق جوجل أن هذه الممارسات، مثل تقديم “zeroplayer” لإمكانيات جاهزة، تقلل من التعقيد التقني وتكاليف الجهود المبذولة من قبل المهاجمين، مما يسمح لمجموعات ذات دوافع متنوعة بالاستفادة من مجموعة واسعة من القدرات الهجومية.