กลุ่มรัสเซียใช้ช่องโหว่ WinRAR (CVE‑2025‑8088) ส่งสตีลเลอ…

การโจมตีทางไซเบอร์สองชุดที่เชื่อมโยงกับกลุ่มรัสเซียยังคงใช้ช่องโหว่ของโปรแกรมบีบอัดไฟล์ WinRAR เพื่อติดตั้งมัลแวร์ประเภทสตีลเลอร์ในเครือข่ายขององค์กรในยูเครน แม้ผู้พัฒนา WinRAR จะปล่อยอัปเดตแก้ไขช่องโหว่ดังกล่าวไปแล้วเกือบปีแล้วก็ตาม การใช้ช่องโหว่ที่ยังคงอยู่เช่นนี้ทำให้ผู้ป้องกันต้องเร่งตรวจสอบและอัปเดตระบบอย่างต่อเนื่อง

Overview

ช่องโหว่ CVE-2025-8088 ของ WinRAR เป็นประเภท *path traversal* ซึ่งอนุญาตให้ผู้โจมตีสามารถบังคับให้โปรแกรมสร้างหรือเขียนไฟล์ลงในตำแหน่งใดก็ได้บนระบบเป้าหมายเมื่อผู้ใช้ทำการแตกไฟล์ RAR ที่มีการดัดแปลงอย่างพิเศษ การโจมตีนี้มักเริ่มต้นด้วยการส่งไฟล์ RAR ไปยังอีเมลหรือช่องทางดาวน์โหลดที่ดูเหมือนปลอดภัย แล้วพึ่งพาการทำงานของ WinRAR ที่ไม่ได้รับการอัปเดตเพื่อให้มัลแวร์ทำงานได้โดยอัตโนมัติ

แม้ว่าการเปิดเผยช่องโหว่นี้จะเกิดขึ้นในปี 2025 แต่รายงานของ Trend Micro ระบุว่ากิจกรรมโจมตียังคงดำเนินต่อไปในปี 2026 โดยกลุ่มผู้โจมตีใช้วิธีการเดียวกันซ้ำหลายครั้ง ทำให้ระบบที่ไม่ได้อัปเดตยังคงเสี่ยงต่อการถูกคุกคามอย่างต่อเนื่อง

Attribution

Trend Micro ระบุว่าการโจมตีในครั้งนี้เกี่ยวข้องกับสองกลุ่มที่มีความเชื่อมโยงกับรัฐรัสเซีย ได้แก่ Earth Dahu (หรือที่รู้จักในชื่อ Gamaredon) และ SHADOW‑EARTH‑066 (ซึ่งเรียกว่า UAC‑0226 ในระบบติดตามของอัยการ) ทั้งสองกลุ่มมีประวัติการทำกิจกรรมไซเบอร์ที่มุ่งเน้นต่อโครงสร้างพื้นฐานของยูเครนเป็นหลัก

การสืบค้นหลักฐานจากไฟล์โลจและตัวอย่างมัลแวร์ที่ถูกดึงมาจากระบบที่ถูกโจมตีทำให้ผู้วิจัยสามารถเชื่อมโยงพฤติกรรมการใช้ช่องโหว่ CVE-2025‑8088 กับกลุ่มเหล่านี้ได้อย่างชัดเจน ซึ่งเป็นการยืนยันว่าการโจมตีครั้งนี้ไม่ได้เป็นการกระทำโดยแฮ็กเกอร์อิสระแต่เป็นการดำเนินการเชิงกลยุทธ์ของกลุ่มที่ได้รับการสนับสนุน

Exploitation Technique

เมื่อผู้ใช้เปิดไฟล์ RAR ที่มีการฝังพาธที่บิดเบือน (เช่น `..\..\..\malicious.exe`) โปรแกรม WinRAR ที่ไม่ได้รับการอัปเดตจะทำการแตกไฟล์ตามพาธนั้นโดยอัตโนมัติ ทำให้ไฟล์มัลแวร์ถูกวางไว้ในโฟลเดอร์ระบบหรือโฟลเดอร์ที่มีสิทธิ์สูงโดยไม่ต้องมีการยืนยันใด ๆ

ต่อจากนั้นมัลแวร์สตีลเลอร์ที่ถูกวางไว้จะทำการรันในพื้นหลังเพื่อขโมยข้อมูลประจำตัว ผู้ใช้ ข้อมูลทางการเงิน และข้อมูลที่สำคัญขององค์กร การสกัดข้อมูลนี้มักถูกส่งต่อไปยังเซิร์ฟเวอร์ควบคุมของกลุ่มผู้โจมตีเพื่อใช้ในกิจกรรมต่อเนื่อง เช่น การทำฟิชชิงเพิ่มเติมหรือการขายข้อมูลบนตลาดมืด

การใช้ช่องโหว่นี้ยังเป็นประโยชน์ต่อกลุ่มผู้โจมตีเพราะไม่ต้องพึ่งพาการหลอกลวงขั้นสูงหรือการใช้เครื่องมือซับซ้อนมากนัก ทำให้ขั้นตอนการดำเนินการเป็นแบบ “ขนาดใหญ่‑ขนาดเล็ก” (low‑effort, high‑impact)

Impact on Ukrainian Organizations

องค์กรในยูเครนที่ตกเป็นเป้าหมายของการโจมตีเหล่านี้มักเป็นหน่วยงานของรัฐ บริษัทไอทีระดับกลาง และสถาบันการเงินที่มีการใช้ WinRAR อย่างแพร่หลาย การรั่วไหลของข้อมูลประจำตัวและข้อมูลสำคัญอาจทำให้เกิดความเสี่ยงต่อการแทรกแซงระบบสำคัญ หรือการทำธุรกรรมที่ไม่ปลอดภัย

แม้ว่าจะไม่มีการเปิดเผยจำนวนกรณีที่แน่นอนจากแหล่งข่าว แต่การสังเกตจากข้อมูลที่ Trend Micro ได้รวบรวมพบว่าการโจมตีต่อเนื่องนี้ทำให้ระบบหลายแห่งต้องหยุดทำงานชั่วคราวเพื่อทำความสะอาดและฟื้นฟู ซึ่งส่งผลกระทบต่อการดำเนินงานและสร้างค่าใช้จ่ายเพิ่มเติมในด้านการตอบสนองเหตุการณ์และการเสริมความปลอดภัย

Mitigation & Recommendations

ผู้ดูแลระบบควรตรวจสอบให้แน่ใจว่าได้อัปเดต WinRAR เป็นเวอร์ชันล่าสุดที่ปิดช่องโหว่ CVE‑2025‑8088 แล้วทันที การตรวจสอบความสมบูรณ์ของไฟล์ RAR ที่ได้รับจากแหล่งภายนอกโดยใช้เครื่องมือสแกนมัลแวร์ยังเป็นขั้นตอนสำคัญเพื่อป้องกันไฟล์ที่อาจถูกดัดแปลง

นอกจากนี้องค์กรควรบังคับใช้หลักการ “least privilege” สำหรับการทำงานของแอปพลิเคชันบีบอัดไฟล์ เพื่อลดความเสี่ยงจากการเขียนไฟล์ในตำแหน่งสำคัญ และตั้งค่าการตรวจจับพฤติกรรมการสร้างไฟล์ในไดเรกทอรีที่ไม่คาดคิดผ่านระบบการตรวจสอบเหตุการณ์ (EDR) เพื่อให้สามารถตอบสนองได้อย่างรวดเร็วเมื่อพบการโจมตี

• ตรวจสอบและอัปเดต WinRAR เป็นเวอร์ชันล่าสุด
• ใช้เครื่องมือสแกนไฟล์ RAR ก่อนเปิด
• จำกัดสิทธิ์การเขียนของโปรแกรมบีบอัดไฟล์
• ติดตั้งและกำหนดค่าระบบ EDR เพื่อตรวจจับพฤติกรรมผิดปกติ

Summary

การใช้ช่องโหว่ CVE‑2025‑8088 ของ WinRAR โดยกลุ่ม Earth Dahu และ SHADOW‑EARTH‑066 ยังคงเป็นภัยคุกคามต่อองค์กรในยูเครนแม้หลังจากที่มีการปล่อยแพตช์แก้ไขแล้ว การอัปเดตซอฟต์แวร์และการเสริมมาตรการตรวจจับพฤติกรรมเป็นแนวทางสำคัญในการลดความเสี่ยงต่อการโจมตีต่อเนื่องนี้.