Nhóm tấn công nâng cao dai dẳng (APT) khét tiếng APT-C-08, còn được biết đến với tên gọi BITTER, đã bị phát hiện đang vũ khí hóa một lỗ hổng CVE-2025-6218 nghiêm trọng trong WinRAR. Lỗ hổng này thuộc loại directory traversal và đang được sử dụng để tiến hành các cuộc tấn công phức tạp nhắm vào các tổ chức chính phủ ở khu vực Nam Á. Sự phát triển này cho thấy một bước tiến đáng lo ngại trong năng lực của tác nhân đe dọa, khi nhóm này lợi dụng lỗ hổng dễ khai thác để xâm nhập vào các hệ thống nhạy cảm và đánh cắp thông tin mật.

Chiến dịch Tấn công của APT-C-08

APT-C-08 là một nhóm đe dọa dai dẳng nâng cao (APT) được xác nhận có liên hệ với các thực thể chính phủ ở Nam Á. Tổ chức này liên tục nhắm mục tiêu vào các chính phủ, tổ chức nước ngoài, trường đại học và các khu phức hợp công nghiệp-quân sự trên khắp Nam Á và các khu vực lân cận.

Mục tiêu và Phương thức Hoạt động

Mục tiêu chính của nhóm là đánh cắp thông tin nhạy cảm, với động cơ chính trị mạnh mẽ. APT-C-08 thể hiện kỹ thuật tấn công tinh vi, sử dụng nhiều vector tấn công đa dạng và chuyên sâu vào các chiến thuật kỹ thuật xã hội. Chúng thường thao túng nạn nhân mở các tài liệu độc hại và tải xuống các payload nguy hiểm.

Khai Thác Lỗ Hổng CVE-2025-6218 trong WinRAR

Các nhà nghiên cứu bảo mật gần đây đã thu thập được các mẫu cho thấy APT-C-08 đang khai thác CVE-2025-6218. Đây là một lỗ hổng directory traversal ảnh hưởng đến WinRAR phiên bản 7.11 và các phiên bản cũ hơn. Đây là lần đầu tiên nhóm này bị phát hiện vũ khí hóa lỗ hổng cụ thể này.

Chi tiết kỹ thuật lỗ hổng

Lỗ hổng CVE-2025-6218 có độ khó khai thác thấp, kết hợp với việc người dùng không cập nhật WinRAR phổ biến, tạo ra bề mặt tấn công lý tưởng cho các tác nhân đe dọa. Lỗ hổng này bắt nguồn từ việc chuẩn hóa đường dẫn không đúng cách trong quá trình giải nén tệp. Quá trình giải nén của WinRAR kiểm tra các ký tự trước dấu phân cách đường dẫn, đặc biệt tìm kiếm khoảng trắng hoặc dấu chấm.

Tuy nhiên, các nhà phát triển đã bỏ qua các kịch bản trong đó đường dẫn chứa khoảng trắng sau ký hiệu “dot-dot” (..). Kẻ tấn công đã khai thác sơ hở này bằng cách xây dựng các đường dẫn được tạo đặc biệt như .. . Điều này giúp bỏ qua các kiểm tra bảo mật và cho phép di chuyển thư mục (directory traversal).

Kịch bản Tấn công ban đầu

Cuộc tấn công bắt đầu với một kho lưu trữ RAR độc hại có tên Provision of Information for Sectoral for AJK.rar. Tệp nén có kích thước 51.4 KB này khai thác lỗ hổng CVE-2025-6218 để vượt qua các giới hạn hệ thống tệp dự kiến, cho phép kẻ tấn công triển khai các tệp độc hại vào các vị trí thư mục trái phép.

Để tối đa hóa thành công khai thác, các tác nhân đe dọa đã nhúng hai đường dẫn tệp độc hại vào trong kho lưu trữ: /.. /../AppData/Roaming/Microsoft/Templates/Normal.dotm và /.. /.. /../AppData/Roaming/Microsoft/Templates/Normal.dotm. Chi tiết quan trọng giúp khai thác thành công là khoảng trắng được đặt một cách chiến lược sau ký hiệu ...

Cơ chế Triển Khai Mã Độc và Duy Trì Quyền Truy Cập

Khi nạn nhân giải nén kho lưu trữ độc hại bằng các phiên bản WinRAR dễ bị tổn thương, cuộc tấn công mạng sẽ triển khai một tệp Normal.dotm đã được vũ khí hóa. Tệp này có MD5 là 4bedd8e2b66cc7d64b293493ef5b8942 tới thư mục template của Microsoft Word tại C:Users[username]AppDataRoamingMicrosoftTemplates.

Sử dụng Template Normal.dotm

Tệp template kích hoạt macro, có kích thước 19.9 KB này, tự động tải mỗi khi nạn nhân mở bất kỳ tài liệu Word nào trên hệ thống của họ. Điều này đảm bảo việc thực thi mã độc một cách dai dẳng mà không yêu cầu tương tác thêm từ người dùng.

Tệp Normal.dotm được triển khai chứa các macro độc hại được thiết kế để thiết lập kết nối từ xa và tải xuống các thành phần tấn công bổ sung. Macro thực thi các lệnh mạng để ánh xạ các thư mục từ xa vào hệ thống cục bộ, đặc biệt nhắm mục tiêu và thực thi tệp winnsc.exe từ cơ sở hạ tầng do kẻ tấn công kiểm soát.

Hoạt động của Downloader winnsc.exe

Tệp downloader winnsc.exe hoạt động bằng cách thu thập dữ liệu trinh sát hệ thống, bao gồm tên máy chủ, tên người dùng và phiên bản hệ điều hành. Thông tin này được truyền đến máy chủ command-and-control (C2) tại teamlogin.esanojinjasvc[.]com bằng cách sử dụng các yêu cầu HTTP POST. Dựa trên phản hồi từ máy chủ, mã độc truy xuất và thực thi các payload tiếp theo, bao gồm các trojan C# thường liên quan đến các hoạt động của APT-C-08 nhằm mục tiêu chiếm quyền điều khiển hệ thống.

Các Biến thể Tấn công Khác

Các nhà nghiên cứu bảo mật đã xác định một biến thể tấn công thứ hai sử dụng một tệp nén có tên Weekly AI Article.rar (MD5: 84128d40db28e8ee16215877d4c4b64a). Kho lưu trữ 596 KB này sử dụng các kỹ thuật khai thác giống hệt nhau, triển khai một tệp Normal.dotm độc hại khác (MD5: f8b237ca925daa3db8699faa05007f12) để tải xuống và thực thi các lệnh từ tapeqcqoptions[.]com.

Các Chỉ Số Thỏa Hiệp (IOCs)

Để hỗ trợ phát hiện và ứng phó, các tổ chức nên kiểm tra sự hiện diện của các chỉ số thỏa hiệp (IOCs) sau:

• Tên tệp RAR độc hại:
  • Provision of Information for Sectoral for AJK.rar
  • Weekly AI Article.rar
• MD5 của kho lưu trữ độc hại:
  • f6f2fdc38cd61d8d9e8cd35244585967
  • 84128d40db28e8ee16215877d4c4b64a
• MD5 của tệp Normal.dotm độc hại:
  • 4bedd8e2b66cc7d64b293493ef5b8942
  • f8b237ca925daa3db8699faa05007f12
• Tên tệp thực thi:
  • winnsc.exe
• Máy chủ Command and Control (C2):
  • teamlogin.esanojinjasvc[.]com
  • tapeqcqoptions[.]com

Biện Pháp Phòng Ngừa và Giảm Thiểu Rủi Ro

Việc APT-C-08 áp dụng lỗ hổng CVE-2025-6218 chứng tỏ sự phát triển và tinh vi kỹ thuật liên tục của nhóm. Sự kết hợp giữa khai thác directory traversal và thực thi dai dẳng dựa trên template tạo ra một chuỗi tấn công rất hiệu quả. Chuỗi này có khả năng vượt qua các kiểm soát bảo mật truyền thống. Các tổ chức, đặc biệt là các thực thể chính phủ ở Nam Á, đối mặt với rủi ro cao từ các chiến dịch này.

Cập nhật và Cảnh giác Người dùng

Các nhóm bảo mật phải ưu tiên cập nhật WinRAR lên các phiên bản đã vá lỗ hổng CVE-2025-6218. Người dùng nên hết sức cẩn trọng khi xử lý các tệp nén từ các nguồn không xác định, đặc biệt là các kho lưu trữ RAR được gửi qua email hoặc các nền tảng chia sẻ tệp.

Để tìm hiểu thêm về các lỗ hổng tương tự trong WinRAR và các biện pháp giảm thiểu, bạn có thể tham khảo thông tin chi tiết trên các nguồn uy tín như NVD: CVE-2023-40477: WinRAR ACE Vulnerability.

Bảo vệ Hệ thống Toàn diện

Việc triển khai bộ lọc bảo mật email mạnh mẽ, các giải pháp phát hiện và phản hồi điểm cuối (EDR), cùng với đào tạo nâng cao nhận thức bảo mật cho người dùng có thể giảm đáng kể các nỗ lực khai thác thành công. Tính chất dai dẳng của cuộc tấn công này, đạt được thông qua việc sửa đổi template của Microsoft Word, yêu cầu các tổ chức phải giám sát thư mục Templates để phát hiện các sửa đổi trái phép và triển khai danh sách cho phép ứng dụng (application allowlisting) để ngăn chặn việc thực thi macro trái phép.

Kiểm toán bảo mật thường xuyên các thư mục quan trọng và cải thiện việc ghi nhật ký có thể phát hiện các chỉ số thỏa hiệp trước khi kẻ tấn công đạt được mục tiêu gián điệp của chúng. Việc nắm bắt các cảnh báo CVE và triển khai các bản vá bảo mật kịp thời là yếu tố then chốt để duy trì an ninh mạng.