หลังจากที่เราเคยรายงานข่าวไปเรื่องช่องโหว่ WinRAR ในที่สุดวันนี้ได้มีการนำไปโจมตีจริงแล้ว มีรายงานว่ากลุ่มแฮกเกอร์ APT-C-08 หรือที่รู้จักในชื่อ BITTER กำลังใช้ช่องโหว่ร้ายแรงใน WinRAR (CVE-2025-6218) เพื่อโจมตีหน่วยงานรัฐบาลทั่วเอเชียใต้ โดยเฉพาะองค์กรที่เก็บข้อมูลลับระดับสูง การโจมตีครั้งนี้ถือเป็นการพัฒนาเทคนิคที่น่ากังวล เพราะช่องโหว่นี้มีการแจ้งเตือนไปตั้งแต่เดือนมิถุนายน แต่ยังมีผู้ใช้จำนวนมากที่ไม่ได้อัปเดตจนตกเป็นเหยื่อได้ง่าย

ช่องโหว่ CVE-2025-6218 เป็นช่องโหว่แบบ Directory Traversal ที่พบใน WinRAR เวอร์ชัน 7.11 และต่ำกว่า เปิดทางให้แฮกเกอร์สามารถวางไฟล์อันตรายไว้ในตำแหน่งที่ไม่ได้รับอนุญาตบนเครื่อง เมื่อเหยื่อแตกไฟล์ RAR ที่ถูกดัดแปลง ช่องโหว่นี้เกิดจากการที่ WinRAR ไม่ได้ตรวจสอบเส้นทางไฟล์ภายในอย่างเหมาะสม โดยเฉพาะการใช้ลำดับ ../ ที่มีช่องว่าง ทำให้สามารถข้ามการตรวจสอบความปลอดภัยได้

กลุ่ม APT-C-08 มีเป้าหมายหลักคือการขโมยข้อมูลจากหน่วยงานรัฐ สถาบันการศึกษา และอุตสาหกรรมด้านความมั่นคง การโจมตีเริ่มจากการส่งไฟล์ RAR หลอกลวง เช่น Provision of Information for Sectoral for AJK.rar หรือ Weekly AI Article.rar เมื่อเหยื่อแตกไฟล์ด้วย WinRAR ที่มีช่องโหว่ ระบบจะติดตั้งไฟล์ Normal.dotm ลงในโฟลเดอร์ Templates ของ Microsoft Word โดยอัตโนมัติ ทำให้มัลแวร์ทำงานทุกครั้งที่เปิดเอกสาร Word โดยไม่ต้องคลิกใด ๆ เพิ่มเติม

ไฟล์ Normal.dotm ที่ถูกฝังมัลแวร์จะดาวน์โหลดไฟล์ winnsc.exe จากเซิร์ฟเวอร์ของแฮกเกอร์เพื่อเก็บข้อมูลระบบ เช่น ชื่อคอมพิวเตอร์ ชื่อผู้ใช้ และเวอร์ชันของระบบปฏิบัติการ จากนั้นส่งกลับไปยังเซิร์ฟเวอร์ควบคุมเพื่อรับคำสั่งเพิ่มเติมและติดตั้งมัลแวร์อื่น ๆ ต่อเนื่อง ถือเป็นการโจมตีแบบแอบแฝงที่ยากจะตรวจจับ

แต่เรื่องยังไม่จบ ล่าสุดพบช่องโหว่ใหม่ CVE-2025-8088 ซึ่งเป็น Zero-day ถูกนำมาใช้โจมตีจริงแล้วเช่นกัน ช่องโหว่นี้เป็นแบบ Path Traversal ที่อนุญาตให้ไฟล์ .rar ที่สร้างขึ้นพิเศษสามารถแตกไฟล์ไปยังตำแหน่งที่แฮกเกอร์กำหนดได้ เช่น โฟลเดอร์ Startup ของ Windows พอเหยื่อเปิดไฟล์ มัลแวร์ก็จะถูกรันอัตโนมัติเมื่อเปิดเครื่องครั้งต่อไป ทีมวิจัยจาก ESET เป็นผู้ค้นพบและแจ้งเตือนให้ทีมพัฒนา WinRAR ออกแพตช์แก้ในเวอร์ชัน 7.13 แต่เพราะโปรแกรมไม่มีระบบอัปเดตอัตโนมัติ ผู้ใช้ต้องดาวน์โหลดและติดตั้งเอง ใครที่ยังใช้เวอร์ชันเก่ากว่า 7.13 ตอนนี้ถือว่าเสี่ยงสูงมาก

สรุปง่าย ๆ ถ้าใช้ WinRAR อยู่ให้รีบเช็กเวอร์ชันและอัปเดตทันที อย่าแตกไฟล์จากแหล่งที่ไม่น่าเชื่อถือ และควรตรวจสอบโฟลเดอร์ Templates รวมถึง Startup เป็นประจำ เพราะแค่ไฟล์ .rar เดียวก็อาจกลายเป็นประตูให้แฮกเกอร์เข้ามายึดเครื่องได้เลย

ที่มา : gbhackers