Η προηγμένη ομάδα επίμονων απειλών APT-C-08, επίσης γνωστή ως Manlinghua ή BITTER, έχει ξεκινήσει μια εξελιγμένη εκστρατεία που στοχεύει κυβερνητικούς οργανισμούς σε όλη τη Νότια Ασία, εκμεταλλευόμενος μια ευπάθεια κρίσιμης διέλευσης καταλόγου στο WinRAR.
Οι ερευνητές ασφαλείας εντόπισαν την πρώτη επιχειρησιακή χρήση του CVE-2025-6218 από την ομάδα, ένα ελάττωμα που επηρεάζει τις εκδόσεις 7.11 και προηγούμενες εκδόσεις WinRAR που επιτρέπει στους εισβολείς να παραβιάζουν τα όρια του συστήματος αρχείων και να εκτελούν κακόβουλο κώδικα σε παραβιασμένα συστήματα.
Το APT-C-08 διατηρεί καθιερωμένες σχέσεις με κυβερνήσεις της Νότιας Ασίας και έχει επικεντρωθεί ιστορικά στην κλοπή ευαίσθητων πληροφοριών από κυβερνητικούς φορείς, το στρατιωτικό-βιομηχανικό συγκρότημα, ιδρύματα του εξωτερικού και πανεπιστήμια.
Η ομάδα απειλών έχει επιδείξει επάρκεια στον οπλισμό κακόβουλων εγγράφων ως σημεία εισόδου επίθεσης, κατασκευάζοντας σχολαστικά κοινωνικά σχεδιασμένα ωφέλιμα φορτία σχεδιασμένα να παρακάμπτουν την ευαισθητοποίηση σχετικά με την ασφάλεια.
Αυτή η τελευταία καμπάνια αντιπροσωπεύει μια σημαντική κλιμάκωση, αξιοποιώντας μια ευπάθεια που παραμένει δύσκολο να επιδιορθωθεί λόγω των ασυνεπών μηχανισμών ενημέρωσης του WinRAR σε εταιρικά περιβάλλοντα.
Αναλυτές και ερευνητές ασφαλείας αναγνωρισθείς την εκστρατεία κακόβουλου λογισμικού ανακαλύπτοντας οπλισμένα αρχεία RAR που περιέχουν αρχεία με παραπλανητικά ονόματα, όπως “Παροχή πληροφοριών για τομεακό για AJK.rar”.
Το κακόβουλο αρχείο εκμεταλλεύεται το CVE-2025-6218 αξιοποιώντας ειδικά διαμορφωμένες διαδρομές αρχείων που περιέχουν κενά μετά από ακολουθίες διέλευσης καταλόγου, μια τεχνική που παρακάμπτει την κανονικοποίηση διαδρομής του WinRAR.
Όταν τα θύματα εξάγουν το αρχείο, το exploit καταθέτει ένα κακόβουλο Normal. αρχείο μακροεντολής dotm στον κατάλογο προτύπων των Windows στο C:\Users[username]\AppData\Roaming\Microsoft\Templates, καθιερώνοντας την επιμονή μέσω του μηχανισμού αυτόματης φόρτωσης προτύπων του Microsoft Word.
Μηχανισμός μόλυνσης και εκτέλεση κώδικα
Η αλυσίδα επίθεσης δείχνει μια περίπλοκη κατανόηση της αρχιτεκτονικής του συστήματος των Windows.
Κατά την εξαγωγή, το κακόβουλο αρχείο Normal.dotm (MD5: 4bedd8e2b66cc7d64b293493ef5b8942) εκτελείται όταν το θύμα ανοίγει οποιοδήποτε έγγραφο του Word, ενεργοποιώντας τις μακροεντολές VBA που εκτελούν την εντολή “net use” για να αντιστοιχίσουν απομακρυσμένους καταλόγους στον τοπικό υπολογιστή.
Στη συνέχεια, η μακροεντολή εκκινεί το winnsc.exe από τον απομακρυσμένο διακομιστή, καθιερώνοντας δυνατότητες εκτέλεσης εντολών.
Αυτή η προσέγγιση μόλυνσης δύο σταδίων διασφαλίζει ότι το άνοιγμα του αρχικού εγγράφου πυροδοτεί τη μόλυνση χωρίς να δημιουργεί υποψίες, επιτρέποντας στους χειριστές να διατηρούν μυστικότητα ενώ καθιερώνουν μόνιμη απομακρυσμένη πρόσβαση.
Η χαμηλή δυσκολία του exploit, σε συνδυασμό με το υψηλό ποσοστό επιτυχίας του, έχει ωθήσει τις κοινότητες ασφαλείας να προτείνουν την άμεση ενημέρωση κώδικα όλων των εγκαταστάσεων WinRAR και την εφαρμογή της λίστας επιτρεπόμενων εφαρμογών για τον περιορισμό της εκτέλεσης μακροεντολών σε πρότυπα του Microsoft Office.
Οι οργανισμοί που χειρίζονται ευαίσθητες κρατικές πληροφορίες θα πρέπει να δίνουν προτεραιότητα στην παρακολούθηση ανίχνευσης απειλών για ύποπτες δραστηριότητες χαρτογράφησης δικτύου και δείκτες συμβιβασμού που βασίζονται σε μακροοικονομικούς δείκτες.
