The nightmare became real.
After we've reported about the WinRAR vulnerability, today it's actually been launched. The APT-C-08 hacker group, also known as BITTER, is reportedly using the CVE-2025-6218 vulnerability to attack government agencies across South Asia, especially high-level classified storage organizations. This event suggests that the vulnerability that has been notified since June also creates a lot of risk when users are not updating the program.
.
The CVE-2025-6218 vulnerability is a Directory Traversal type, hitting WinRAR version 7.11 and older versions. When cracking a hacker-modified .rar file, a malware-containing Norm.dotm file was automatically placed into Microsoft Word's Templates folder.
.
This template file loads every time the document is opened, causing the malicious code to run without further clicking, and then the malware downloads the winnsc.exe sample loader, explores the system, collects the basic data, and sends it back to the control server to retrieve Trojan or additional modules.
.
Attacks often start with fake RAR files named for people to open, such as Provision of Information for Sectoral for AJK.rar or Weekly AI Article.rar. When a victim using an old version of WinRAR opens a file, it is highly vulnerable to silent malware.
.
There is also news added that a new vulnerability, CVE-2025-8088, is zero-day and has been used to attack real, allowing hackers to command .rar files to break to the desired location, such as Windows' Startup folder, causing malware to run automatically when installing and booting the machine.
.
Experts recommend checking the WinRAR version and updating it immediately, avoiding unreliable source files, and regularly checking Templates and Startup folders, because just a single .rar file can open a loophole for hackers to seize the machine.
.
Source: gbhackers
สถานการณ์ความปลอดภัยของซอฟต์แวร์ WinRAR ถือเป็นเรื่องที่ผู้ใช้ทุกคนไม่ควรมองข้ามโดยเฉพาะอย่างยิ่งกับช่องโหว่ร้ายแรงที่ถูกเปิดเผยล่าสุดอย่าง CVE-2025-6218 และ CVE-2025-8088 ซึ่งช่องโหว่เหล่านี้อยู่ในเวอร์ชัน WinRAR ที่ต่ำกว่า 7.12 ทำให้เกิดความเสี่ยงสูงในการถูกฝังมัลแวร์ผ่านไฟล์ .rar ที่ถูกดัดแปลงโดยแฮกเกอร์ อย่างที่ทราบกันดีว่า CVE-2025-6218 เป็นช่องโหว่แบบ Directory Traversal ทำให้มัลแวร์ถูกวางในโฟลเดอร์ Templates ของ Microsoft Word ผ่านไฟล์ Normal.dotm ซึ่งจะถูกโหลดทุกครั้งที่เปิดเอกสาร ส่งผลให้โค้ดอันตรายทำงานโดยอัตโนมัติ นอกจากนี้มัลแวร์ยังมีการดาวน์โหลดตัวโหลด winnsc.exe เพื่อสำรวจและรวบรวมข้อมูลในเครื่องก่อนส่งกลับเซิร์ฟเวอร์ควบคุม โดยกระบวนการนี้ทำให้มัลแวร์สามารถดึง Trojan หรือโมดูลเพิ่มเติมเข้ามารันในระบบได้โดยไม่ต้องมีการคลิกเพิ่มเติมจากผู้ใช้ ส่วนช่องโหว่ CVE-2025-8088 ยังเป็นช่องโหว่ zero-day ที่ถูกนำมาใช้โจมตีจริง สามารถสั่งให้ไฟล์ .rar แตกไปยังตำแหน่งที่ต้องการ เช่น โฟลเดอร์ Startup ของ Windows ทำให้มัลแวร์รันโดยอัตโนมัติเมื่อคอมพิวเตอร์เริ่มต้นขึ้น ช่องโหว่นี้เพิ่มความรุนแรงให้กับช่องโหว่เก่าและทำให้การป้องกันตอบสนองได้ยากขึ้น การป้องกันเบื้องต้นที่ผู้ใช้ควรทำทันทีคือการเช็กเวอร์ชัน WinRAR ที่ใช้อยู่และอัปเดตเป็นเวอร์ชันล่าสุดเสมอ หากไม่อัปเดตจะมีความเสี่ยงสูงต่อการถูกโจมตีจากไฟล์ .rar ซ่อนมัลแวร์ที่ดูเหมือนไฟล์ทั่วไป รวมถึงควรหลีกเลี่ยงการแตกไฟล์จากแหล่งที่ไม่น่าเชื่อถืออย่างเคร่งครัด นอกจากนี้ควรตรวจสอบโฟลเดอร์ Templates ใน Microsoft Word และโฟลเดอร์ Startup ของ Windows เป็นประจำเพื่อดูว่ามีไฟล์แปลกปลอมที่อาจถูกฝังไว้หรือไม่ รวมถึงติดตั้งโปรแกรมแอนตี้มัลแวร์ที่มีฐานข้อมูลล่าสุดเพื่อสแกนและกำจัดมัลแวร์ที่เป็นอันตรายเหล่านี้ สุดท้าย การรู้จักความเสี่ยงและช่องทางโจมตีที่แฮกเกอร์ใช้งานอย่างละเอียด โดยเฉพาะกลุ่ม APT-C-08 หรือ BITTER ซึ่งมีเป้าหมายโจมตีหน่วยงานรัฐบาลและองค์กรที่เก็บข้อมูลลับในเอเชียใต้ ช่วยสร้างความตระหนักและเตรียมรับมือได้อย่างมีประสิทธิภาพมากขึ้น ซึ่งถือเป็นการป้องกันภัยไซเบอร์ที่ควรให้ความสำคัญในยุคปัจจุบันอย่างยิ่ง
