VietNetwork.Vn

Hôm thứ Ba, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng bảo mật ảnh hưởng đến phần mềm nén và lưu trữ tệp WinRAR vào danh mục Các lỗ hổng đã bị khai thác ( KEV ) của mình, với lý do có bằng chứng về việc đang diễn ra hoạt động khai thác.

Lỗ hổng này, được theo dõi với mã CVE-2025-6218 (điểm CVSS: 7.8), là một lỗi tấn công vượt quyền truy cập (path traversal) có thể cho phép thực thi mã. Tuy nhiên, để khai thác thành công, mục tiêu tiềm năng cần phải truy cập vào một trang web độc hại hoặc mở một tập tin độc hại.


CISA cho biết trong một cảnh báo: "WinRAR chứa một lỗ hổng cho phép kẻ tấn công thực thi mã trong ngữ cảnh của người dùng hiện tại."

Lỗ hổng này đã được RARLAB vá trong bản cập nhật WinRAR 7.12 vào tháng 6 năm 2025. Bản vá chỉ ảnh hưởng đến các phiên bản dành cho Windows. Các phiên bản của công cụ dành cho các nền tảng khác, bao gồm Unix và Android, không bị ảnh hưởng.

Vào thời điểm đó, RARLAB đã lưu ý rằng: "Lỗ hổng này có thể bị khai thác để đặt các tập tin vào những vị trí nhạy cảm — chẳng hạn như thư mục Khởi động của Windows — có khả năng dẫn đến việc thực thi mã không mong muốn khi hệ thống đăng nhập lần tiếp theo."

Diễn biến này diễn ra sau nhiều báo cáo từ   Đăng nhập để xem liên kết, Foresiet, SecPod và Synaptic Security, cho thấy lỗ hổng này đã bị hai nhóm tin tặc khác nhau khai thác, được theo dõi với tên gọi GOFFEE (hay còn gọi là Paper Werewolf), Bitter (hay còn gọi là APT-C-08 hoặc Manlinghua) và Gamaredon.

Trong một phân tích được công bố vào tháng 8 năm 2025, nhà cung cấp phần mềm an ninh mạng của Nga cho biết có những dấu hiệu cho thấy GOFFEE có thể bị khai thác lỗ hổng CVE-2025-6218 cùng với CVE-2025-8088 (điểm CVSS: 8.8), một lỗ hổng duyệt thư mục khác trong WinRAR, trong các cuộc tấn công nhắm vào các tổ chức trong nước vào tháng 7 năm 2025 thông qua email lừa đảo.

Sau đó, người ta phát hiện ra rằng nhóm APT Bitter tập trung vào khu vực Nam Á cũng đã lợi dụng lỗ hổng này để duy trì sự hiện diện trên máy chủ bị xâm nhập và cuối cùng là phát tán phần mềm độc hại C# thông qua một trình tải xuống nhẹ. Cuộc tấn công lợi dụng một tệp lưu trữ RAR ("Provision of Information for Sectoral for AJK.rar") chứa một tài liệu Word vô hại và một mẫu macro độc hại.

"Tệp tin độc hại này chèn một tập tin có tên Normal.dotm vào đường dẫn mẫu toàn cục của Microsoft Word," Foresiet cho biết tháng trước. "Normal.dotm là một mẫu toàn cục được tải mỗi khi Word được mở. Bằng cách thay thế tập tin hợp pháp, kẻ tấn công đảm bảo mã macro độc hại của chúng tự động thực thi, tạo ra một cửa hậu dai dẳng giúp vượt qua cơ chế chặn macro email tiêu chuẩn đối với các tài liệu nhận được sau khi bị xâm nhập ban đầu."

Mã độc Trojan C# được thiết kế để liên hệ với máy chủ bên ngoài ("johnfashionaccess[.]com") nhằm thiết lập lệnh và điều khiển (C2), cho phép ghi lại thao tác bàn phím, chụp ảnh màn hình, thu thập thông tin đăng nhập giao thức máy tính từ xa (RDP) và đánh cắp tập tin. Người ta đánh giá rằng các tập tin lưu trữ RAR được phát tán thông qua các cuộc tấn công lừa đảo có chủ đích (spear-phishing).

Cuối cùng nhưng không kém phần quan trọng, lỗ hổng CVE-2025-6218 cũng đã bị một nhóm tin tặc Nga có tên Gamaredon khai thác trong các chiến dịch lừa đảo nhắm vào các thực thể quân sự, chính phủ, chính trị và hành chính của Ukraine để lây nhiễm phần mềm độc hại có tên Pteranodon. Hoạt động này được phát hiện lần đầu tiên vào tháng 11 năm 2025.

"Đây không phải là một chiến dịch cơ hội," một nhà nghiên cứu an ninh có biệt danh Robin cho biết. "Đây là một chiến dịch gián điệp và phá hoại có cấu trúc, hướng đến mục tiêu quân sự, phù hợp với, và có khả năng được phối hợp bởi, tình báo nhà nước Nga."

Điều đáng chú ý là kẻ thù cũng đã lợi dụng triệt để lỗ hổng CVE-2025-8088, sử dụng nó để phát tán phần mềm độc hại Visual Basic Script và thậm chí triển khai một công cụ xóa dữ liệu mới có tên mã là GamaWiper.

"Đây là trường hợp đầu tiên được quan sát thấy Gamaredon tiến hành các hoạt động phá hoại thay vì các hoạt động gián điệp truyền thống của nó," ClearSky cho biết trong một bài đăng ngày 30 tháng 11 năm 2025 trên X.

Trước tình trạng bị khai thác triệt để, các cơ quan thuộc nhánh hành pháp dân sự liên bang (FCEB) được yêu cầu phải áp dụng các biện pháp khắc phục cần thiết trước ngày 30 tháng 12 năm 2025 để bảo vệ mạng lưới của mình.