ฝันร้ายกลายเป็นจริง
หลังจากที่เราเคยรายงานข่าวไปเรื่องช่องโหว่ WinRAR ในที่สุดวันนี้ได้มีการนำไปโจมตีจริงแล้ว โดยมีรายงานว่ากลุ่มแฮกเกอร์ APT-C-08 หรือที่รู้จักในชื่อ BITTER กำลังใช้ช่องโหว่ร้ายแรง CVE-2025-6218 เพื่อโจมตีหน่วยงานรัฐบาลทั่วเอเชียใต้ โดยเฉพาะองค์กรที่เก็บข้อมูลลับระดับสูง เหตุการณ์นี้ชี้ให้เห็นว่าช่องโหว่ที่มีการแจ้งเตือนไปตั้งแต่เดือนมิถุนายนยังสร้างความเสี่ยงได้มากเมื่อผู้ใช้ยังไม่อัปเ��ดตโปรแกรม
.
ช่องโหว่ CVE-2025-6218 เป็นประเภท Directory Traversal กระทบ WinRAR เวอร์ชัน 7.11 และเวอร์ชันเก่ากว่า เมื่อทำการแตกไฟล์ .rar ที่แฮกเกอร์ดัดแปลงไว้แล้ว จะพบว่ามีไฟล์ Normal.dotm ที่มีมัลแวร์ถูกวางลงในโฟลเดอร์ Templates ของ Microsoft Word โดยอัตโนมัติ
.
ไฟล์แม่แบบนี้จะโหลดทุกครั้งที่เปิดเอกสาร ทำให้โค้ดอันตรายทำงานโดยไม่ต้องคลิกเพิ่มเติม และจากนั้นมัลแวร์จะดาวน์โหลดตัวโหลดอย่าง winnsc.exe มาสำรวจระบบ รวบรวมข้อมูลพื้นฐาน แล้วส่งกลับไปยังเซิร์ฟเวอร์ควบคุมเพื่อดึง Trojan หรือโมดูลเพิ่มเติมเข้ามาทำงาน
.
การโจมตีมักเริ่มจากไฟล์ RAR ปลอมที่ตั้งชื่อให้คนอยากเปิด เช่น Provision of Information for Sectoral for AJK.rar หรือ Weekly AI Article.rar พอเหยื่อที่ใช้ WinRAR เวอร์ชันเก่าเปิดไฟล์ก็เรียบร้อย เลยมีความเสี่ยงสูงต่อการถูกฝังมัลแวร์อย่างเงียบ ๆ
.
ยังมีข่าวเสริมว่าเกิดช่องโหว่ใหม่ CVE-2025-8088 ซึ่งเป็น zero-day และถูกน�ำมาใช้โจมตีจริง ทำให้แฮกเกอร์สามารถสั่งให้ไฟล์ .rar แตกไปยังตำแหน่งที่ต้องการ เช่น โฟลเดอร์ Startup ของ Windows ทำให้มัลแวร์รันอัตโนมัติเมื่อติดตั้งและบูตเครื่อง
.
ผู้เชี่ยวชาญแนะนำให้รีบเช็กเวอร์ชัน WinRAR และอัปเดตทันที หลีกเลี่ยงการแตกไฟล์จากแหล่งที่ไม่น่าเชื่อถือ และตรวจสอบโฟลเดอร์ Templates กับโฟลเดอร์ Startup เป็นประจำ เพราะแค่ไฟล์ .rar เดียวก็อาจเปิดช่องโหว่ให้แฮกเกอร์เข้ามายึดเครื่องได้เลย
.
ที่มา : gbhackers
สถานการณ์ความปลอดภัยของซอฟต์แวร์ WinRAR ถือเป็นเรื่องที่ผู้ใช้ทุกคนไม่ควรมองข้ามโดยเฉพาะอย่างยิ่งกับช่องโหว่ร้ายแรงที่ถูกเปิดเผยล่าสุดอย่าง CVE-2025-6218 และ CVE-2025-8088 ซึ่งช่องโหว่เหล่านี้อยู่ในเวอร์ชัน WinRAR ที่ต่ำกว่า 7.12 ทำให้เกิดความเสี่ยงสูงในการถูกฝังมัลแวร์ผ่านไฟล์ .rar ที่ถูกดัดแปลงโดยแฮกเกอร์ อย่างที่ทราบกันดีว่า CVE-2025-6218 เป็นช่องโหว่แบบ Directory Traversal ทำให้มัลแวร์ถูกวางในโฟลเดอร์ Templates ของ Microsoft Word ผ่านไฟล์ Normal.dotm ซึ่งจะถูกโหลดทุกครั้งที่เปิดเอกสาร ส่งผลให้โค้ดอันตรายทำงานโดยอัตโนมัติ นอกจากนี้มัลแวร์ยังมีการดาวน์โหลดตัวโหลด winnsc.exe เพื่อสำรวจและรวบรวมข้อมูลในเครื่องก่อนส่งกลับเซิร์ฟเวอร์ควบคุม โดยกระบวนการนี้ทำให้มัลแวร์สามารถดึง Trojan หรือโมดูลเพิ่มเติมเข้ามารันในระบบได้โดยไม่ต้องมีการคลิกเพิ่มเติมจากผู้ใช้ ส่วนช่องโหว่ CVE-2025-8088 ยังเป็นช่องโหว่ zero-day ที่ถูกนำมาใช้โจมตีจริง สามารถสั่งให้ไฟล์ .rar แตกไปยังตำแหน่งที่ต้องการ เช่น โฟลเดอร์ Startup ของ Windows ทำให้มัลแวร์รันโดยอัตโนมัติเมื่อคอมพิวเตอร์เริ่มต้นขึ้น ช่องโหว่นี้เพิ่มความรุนแรงให้กับช่องโหว่เก่าและทำให้การป้องกันตอบสนองได้ยากขึ้น การป้องกันเบื้องต้นที่ผู้ใช้ควรทำทันทีคือการเช็กเวอร์ชัน WinRAR ที่ใช้อยู่และอัปเดตเป็นเวอร์ชันล่าสุดเสมอ หากไม่อัปเดตจะมีความเสี่ยงสูงต่อการถูกโจมตีจากไฟล์ .rar ซ่อนมัลแวร์ที่ดูเหมือนไฟล์ทั่วไป รวมถึงควรหลีกเลี่ยงการแตกไฟล์จากแหล่งที่ไม่น่าเชื่อถืออย่างเคร่งครัด นอกจากนี้ควรตรวจสอบโฟลเดอร์ Templates ใน Microsoft Word และโฟลเดอร์ Startup ของ Windows เป็นประจำเพื่อดูว่ามีไฟล์แปลกปลอมที่อาจถูกฝังไว้หรือไม่ รวมถึงติดตั้งโปรแกรมแอนตี้มัลแวร์ที่มีฐานข้อมูลล่าสุดเพื่อสแกนและกำจัดมัลแวร์ที่เป็นอันตรายเหล่านี้ สุดท้าย การรู้จักความเสี่ยงและช่องทางโจมตีที่แฮกเกอร์ใช้งานอย่างละเอียด โดยเฉพาะกลุ่ม APT-C-08 หรือ BITTER ซึ่งมีเป้าหมายโจมตีหน่วยงานรัฐบาลและองค์กรที่เก็บข้อมูลลับในเอเชียใต้ ช่วยสร้างความตระหนักและเตรียมรับมือได้อย่างมีประสิทธิภาพมากขึ้น ซึ่งถือเป็นการป้องกันภัยไซเบอร์ที่ควรให้ความสำคัญในยุคปัจจุบันอย่างยิ่ง
