الصفحات
بحث
تحذير: ثغرة WinRAR تواصل تهديد المستخدمين في 2026
الأمن السيبراني #أمن_سيبراني #WinRAR

تحذير: ثغرة WinRAR تواصل تهديد المستخدمين في 2026

منذ أسبوع 26 مشاهدة 0 تعليق 2 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
26 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشف تقرير أمني جديد صادر عن فريق معلومات التهديدات في جوجل (GTIG) أن ثغرة WinRAR الخطيرة، المعروفة برمز CVE-2025-8088، لا تزال تُستغل بنشاط واسع النطاق من قبل جهات تجسس مدعومة من دول ومجرمين إلكترونيين لزرع برمجيات خبيثة في أنظمة ويندوز.

آلية الهجوم عبر ثغرة المسار

تعتمد الثغرة الأمنية على عيب في "تجاوز المسار" (Path Traversal) يستغل ميزة تدفقات البيانات البديلة (ADS) لكتابة ملفات ضارة في مواقع عشوائية على الجهاز. وقد استغل المهاجمون هذا العيب سابقاً لزرع برمجيات خبيثة داخل مجلد بدء تشغيل ويندوز (Windows Startup)، مما يضمن تشغيل البرمجيات الضارة تلقائياً عند كل إعادة تشغيل للنظام.

وكان باحثون في شركة ESET للأمن السيبراني قد اكتشفوا هذه الثغرة وأبلغوا عنها في أوائل أغسطس 2025، مشيرين إلى أن مجموعة "RomCom" الموالية لروسيا كانت تستغلها في هجمات "يوم الصفر" (Zero-day).

هجمات مستمرة وتوسع في الاستهداف

أوضح باحثو جوجل أن عمليات الاستغلال بدأت منذ 18 يوليو 2025، وهي مستمرة حتى اليوم. غالباً ما تتضمن سلسلة الهجوم إخفاء الملف الضار داخل تدفقات البيانات البديلة (ADS) لملف طُعم داخل الأرشيف المضغوط. وبينما يرى المستخدم عادةً مستنداً عادياً مثل PDF، توجد إدخالات ADS خبيثة مخفية يتم استخراجها عند الفتح لتنفيذ أوامر برمجية عند تسجيل دخول المستخدم.

أبرز الجهات التي تستغل الثغرة

رصدت جوجل عدة مجموعات مدعومة من دول تستغل CVE-2025-8088، ومنها:

  • مجموعة UNC4895: تستهدف وحدات عسكرية أوكرانية باستخدام برمجية NESTPACKER.
  • مجموعة APT44: تستخدم ملفات LNK خبيثة ومستندات طُعم باللغة الأوكرانية.
  • مجموعة TEMP.Armageddon: تقوم بإسقاط أدوات تحميل HTA في مجلدات بدء التشغيل (نشاط مستمر حتى 2026).
  • مجموعة Turla: تنشر مجموعة برمجيات STOCKSTAY باستخدام موضوعات تتعلق بالجيش الأوكراني.
  • جهات مرتبطة بالصين: تستخدم الثغرة لنشر برمجية POISONIVY.

سوق سوداء لاستغلال الثغرات

إلى جانب التجسس، لاحظت جوجل جهات ذات دوافع مالية تستغل الثغرة لتوزيع أدوات سرقة المعلومات مثل XWorm وAsyncRAT. ويُعتقد أن هؤلاء المهاجمين حصلوا على أدوات الاستغلال من موردين متخصصين، مثل شخص يحمل الاسم المستعار "zeroplayer"، الذي عرض استغلال WinRAR للبيع في يوليو الماضي.

الجدير بالذكر أن هذا المورد قام بتسويق عدة ثغرات عالية القيمة العام الماضي، بما في ذلك ثغرات مزعومة لمنتجات مايكروسوفت وتجاوز حلول الحماية، بأسعار تتراوح بين 80,000 و300,000 دولار، مما يعكس تحول تطوير الثغرات إلى سلعة تجارية تسهل الهجمات السيبرانية.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##WinRAR ##تكنولوجيا ##حماية_البيانات

الأسئلة الشائعة

هي ثغرة تجاوز مسار عالية الخطورة تسمح للمهاجمين بكتابة ملفات خبيثة في مواقع حساسة مثل مجلد بدء تشغيل ويندوز لضمان استمرار الاختراق.

تستغلها مجموعات مدعومة من دول مثل RomCom وTurla لأغراض التجسس، بالإضافة إلى مجرمين إلكترونيين لأغراض مالية.

يخفي المهاجمون ملفات ضارة داخل الأرشيف باستخدام تدفقات البيانات البديلة (ADS)، وعند فتح الأرشيف يتم استخراج الملف الخبيث وتشغيله تلقائياً.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!