WinRAR 제로데이 취약점
인기 있는 WinRAR 파일 보관 유틸리티 개발팀이 최근 활발하게 악용되고 있는 제로데이 취약점을 패치하기 위해 긴급 보안 업데이트를 발표했습니다. CVE-2025-8088로 추적되며 CVSS 점수 8.8점을 받은 이 취약점은 WinRAR 윈도우 버전에 존재하는 경로 탐색(path traversal) 버그로, 공격자가 특수하게 조작된 보관 파일을 통해 임의 코드를 실행할 수 있도록 합니다.
이 취약점은 2025년 7월 31일에 출시된 WinRAR 버전 7.13에 적용되었습니다. 이 취약점은 WinRAR뿐만 아니라 RAR, UnRAR, UnRAR.dll 및 Windows용 이식 가능한 UnRAR 소스 코드에도 영향을 미칩니다.
목차
익스플로잇 작동 방식
이 취약점은 이전 버전의 WinRAR가 의도된 추출 경로가 아닌, 아카이브 내부에 지정된 악성 경로를 사용하여 파일을 추출하도록 속일 수 있기 때문에 발생합니다. 이러한 동작은 Windows 시작 폴더와 같은 민감한 시스템 디렉터리에 파일을 저장하는 데 악용될 수 있으며, 이로 인해 다음 시스템 로그인 시 자동으로 코드가 실행될 수 있습니다.
2025년 6월에 패치된 관련 취약점 CVE-2025-6218 또한 디렉터리 탐색 공격을 가능하게 했습니다. 위협 행위자는 이 두 가지 취약점을 함께 이용하여 추출 과정에서 파일 경로를 조작하고, 지정된 폴더 외부에 파일을 작성하고, 피해자의 주의를 분산시키기 위해 가짜 문서를 표시하면서 악성 코드를 실행할 수 있습니다.
위협 행위자 활동 및 다크 웹 링크
사이버 보안 연구원들은 최근 CVE-2025-8088 취약점을 악용한 해킹 그룹 Paper Werewolf(일명 GOFFEE)와 연관지었습니다. 이 그룹은 CVE-2025-6218 취약점을 악용하여 표적 공격을 감행했을 가능성이 있습니다.
조사 결과, 2025년 7월 7일 '제로플레이어'라는 사이버 범죄자가 러시아어 포럼 Exploit.in에 WinRAR 제로데이 취약점을 8만 달러에 광고한 것으로 드러났습니다. Paper Werewolf가 이 취약점을 확보하여 실제 공격에 활용했을 것으로 추정됩니다.
공격 캠페인 세부 정보
2025년 7월, 러시아 조직들은 악성 아카이브가 포함된 피싱 이메일을 통해 표적이 되었습니다. 피해자들이 이 파일을 열었을 때, 익스플로잇 체인은 두 가지 취약점을 모두 악용하여 다음과 같은 결과를 초래했습니다.
- 의도한 추출 경로 외부의 디렉토리에 파일을 씁니다.
- 피해자가 알지 못하는 사이에 코드를 실행합니다.
주목할 만한 기술적 세부 사항은 공격자가 상대 경로를 포함하는 이름에 대체 데이터 스트림을 포함하는 RAR 아카이브를 생성했다는 것입니다. 이러한 스트림은 임의의 페이로드를 포함하고 있었으며, 아카이브에서 직접 추출하거나 열면 디스크의 원하는 디렉터리에 기록되었습니다.
탑재량 기능
식별된 악성 페이로드 중 하나는 다음과 같은 .NET 기반 로더입니다.
- 피해자의 컴퓨터 이름과 같은 시스템 정보를 수집합니다.
- 데이터를 원격 서버로 전송합니다.
- 암호화된 .NET 어셈블리를 포함한 추가 맬웨어를 다운로드합니다.
Paper Werewolf는 이 로더를 소켓 위의 역쉘과 함께 사용하여 명령 및 제어 인프라와 직접 통신할 수 있다고 합니다.
권장 조치
WinRAR 사용자는 CVE-2025-8088 및 CVE-2025-6218의 위험을 제거하기 위해 즉시 7.13 이상으로 업데이트해야 합니다. 모든 조직, 특히 민감한 데이터를 처리하는 조직은 이메일 보안 정책을 검토하고, 아카이브에서 자동 파일 실행을 비활성화하고, 의심스러운 추출 동작을 모니터링해야 합니다.
