최근 보안업계에서는 500만 명 이상이 사용하는 압축 프로그램 WinRAR에서 발견된 고위험 제로데이 취약점(CVE-2025-8088)이 실제 공격에 악용되고 있다는 경고가 나왔습니다.
특히 이번 건이 주목받는 이유는 서로 다른 러시아 사이버 범죄 그룹 두 곳이 동일한 취약점을 동시에 활용하고 있기 때문입니다.
🕵️♂️ 사건 개요
- 발견 시점: 2025년 7월 18일 (ESET 텔레메트리 감지)
- 패치 배포: 7월 30일 (WinRAR 7.13 버전)
- 영향 버전: 7.13 이전 모든 WinRAR 버전 (Windows CLI 버전 및 UnRAR.dll 포함)
- 취약점 종류: 경로 탐색(Path Traversal) + Windows Alternate Data Streams(ADS) 악용
- 심각도: High (원격 코드 실행 가능)
🎯 공격 방식 요약
취약점은 Windows Alternate Data Streams 기능을 이용해 경로 탐색 버그를 트리거합니다.
이로 인해 원래는 실행 권한이 제한된 %TEMP%나 %LOCALAPPDATA% 디렉토리에 악성 실행 파일을 몰래 심을 수 있습니다.
이후 해커는 피싱 이메일에 악성 RAR 압축 파일을 첨부해 배포합니다.
일부 메일은 타깃의 이름과 정보를 넣어 맞춤형(스피어피싱)으로 제작되어 열람 가능성을 높입니다.
🐺 주요 공격 그룹
1. RomCom (ESET 추적 명칭)
- 성격: 러시아 기반 금전 동기 사이버 범죄 조직
- 이력: 최소 3번 이상의 제로데이 사용 사례
- 악용 체인:
- COM Hijacking → Microsoft Edge 등 특정 앱에서 악성 DLL 자동 실행
- DLL → 셸코드 복호화 → 타깃 도메인 확인 후 Mythic Agent 프레임워크 설치
- 악성 EXE 실행 → SnipBot 설치 (VM/Sandbox 회피 기능 포함)
- RustyClaw, Melting Claw 등 기존 RomCom 악성코드 배포
- COM Hijacking → Microsoft Edge 등 특정 앱에서 악성 DLL 자동 실행
2. Paper Werewolf (Bi.ZONE 추적, AKA GOFFEE)
- 성격: 러시아 활동, 사회공학+취약점 병행
- 추가 악용 취약점: CVE-2025-6218 (WinRAR 다른 고위험 취약점, 5주 전 패치)
- 공격 방식:
- 러시아 국립 연구소 직원 사칭 메일 → 악성 압축 파일 첨부
- 취약점 악용 후 백도어 설치
🛠 기술적 특징
- Alternate Data Streams(ADS) 활용: 파일 시스템에서 다른 데이터 스트림을 숨겨 경로 우회
- 경로 탐색(Path Traversal): 의도적으로 ..\ 등 경로를 조작해 보호 디렉토리에 파일 저장
- 보안 회피:
- VM/Sandbox 탐지 → 실행 중단
- 특정 도메인 환경에서만 실행 → 무차별 전파 방지 & 분석 회피
📌 과거 WinRAR 제로데이 사례
- 2019년: RARLAB의 경로 처리 취약점 악용 → 전 세계 대규모 악성코드 유포
- 2023년: 패치 전 4개월 이상 제로데이 악용 지속
공통 문제는 WinRAR의 자동 업데이트 기능 부재입니다. 사용자가 직접 패치를 내려받아 설치하지 않으면 그대로 노출됩니다.
🛡 대응 방안
- 즉시 WinRAR 업데이트
- 최신 버전 7.13 이상으로 교체
- CLI/UnRAR.dll/Portable 버전까지 모두 포함
- 수상한 압축 파일 주의
- 출처 불분명, 특히 이메일 첨부 RAR/ZIP은 실행 전 반드시 검사
- 실행 제한 정책 적용
- %TEMP%, %LOCALAPPDATA% 폴더에서 실행 차단 (AppLocker/SRP/GPO 활용)
- 보안 솔루션 최신화
- EDR, AV에서 CVE-2025-8088 관련 IOC 및 탐지 시그니처 적용
- 기업 메일 필터 강화
- 압축 파일 차단 또는 내부 전용 스캐너 경유 후 전달
🚨 결론
이번 사건은 하나의 제로데이가 동시에 두 개의 러시아 해킹 그룹에 의해 악용된 드문 사례입니다.
게다가 WinRAR의 대규모 사용자 기반과 자동 업데이트 부재로 인해,
패치 적용이 지연되면 전 세계 수백만 대의 PC가 위험에 노출됩니다.
개인과 기업 모두 즉시 업데이트가 필수이며,
앞으로도 WinRAR 같은 파일 압축 프로그램이 APT·금전 범죄 양쪽에서 지속적으로 표적이 될 가능성이 큽니다.
'CyberSecurity > Cyber Risk Insights🔐' 카테고리의 다른 글
| 💧 국가 기반시설을 노리는 새로운 사이버 위협: 물(Water)과 하수 처리 시스템 (5) | 2025.08.18 |
|---|---|
| 🚨 Crypto24 랜섬웨어, 보안의 마지막 방어선 EDR까지 무력화하다 (4) | 2025.08.18 |
| 🚨 Fortinet SSL VPN, 사상 최대 무차별 대입 공격 급증! – 새로운 취약점 전조인가? (6) | 2025.08.13 |
| 🔐 Ivanti, Connect Secure·Policy Secure·ZTA Gateway 긴급 보안 패치 발표! – 원격 DoS 취약점 4종 수정 (2) | 2025.08.13 |
| 🚨 APT급 기술을 쓰는 신흥 랜섬웨어 ‘Charon’ 등장! – 중동 공공·항공 산업 첫 타깃 (1) | 2025.08.13 |