APT-C-08 (Manlinghua) эксплуатирует CVE-2025-6218: обход каталогов WinRAR

Группа APT-C-08, также известная как Manlinghua, впервые зафиксирована при использовании уязвимости обхода каталогов WinRAR — CVE-2025-6218. Это событие привлекает внимание специалистов по кибербезопасности из‑за сочетания относительно низкой сложности эксплуатации уязвимости и редкой практики обновления программного обеспечения WinRAR у конечных пользователей.

Краткое содержание инцидента

По данным недавнего анализа, исследователи обнаружили образцы атак, в которых злоумышленники из Manlinghua эксплуатировали CVE-2025-6218 для обхода ограничений на извлечение файлов и записи в произвольные каталоги. Это первый известный случай использования именно этой уязвимости данной группировкой. Публичное раскрытие примеров атак преследует цель повысить осведомлённость и ускорить внедрение мер по обнаружению и смягчению последствий.

В чем опасность CVE-2025-6218

• Низкая сложность эксплуатации: уязвимость не требует сложных цепочек взаимодействий, что облегчает её применение широким кругом злоумышленников.
• Популярность WinRAR: поскольку WinRAR — одно из широко используемых приложений для работы с архивами, потенциальная поверхность атаки велика.
• Редкие обновления: пользователи WinRAR часто не устанавливают обновления оперативно, что увеличивает количество уязвимых инсталляций.
• Риск дальнейшего распространения техники: успешное применение CVE-2025-6218 APT-группой повышает вероятность, что приёмы будут заимствованы другими злоумышленниками.

«Обнаружение использования CVE-2025-6218 группой Manlinghua служит сигналом тревоги: уязвимости с низким барьером входа быстро распространяются между угрозовыми акторами, — отмечают специалисты. — Оперативное обновление и мониторинг — ключевые меры для снижения риска.»

Рекомендации по защите

• Обновите WinRAR: установите официальные патчи или последнюю версию ПО на всех рабочих станциях и серверах.
• Ограничьте извлечение архивов: запрещайте или контролируйте распаковку архивов из непроверенных источников, особенно с правами администратора.
• Включите сегментацию и политику least privilege: предотвратите возможность записи извлечённых файлов в критичные каталоги.
• Настройте EDR и централизованный мониторинг: отслеживайте подозрительную активность, связанную с распаковкой архивов, созданием файлов в необычных местах и выполнением новых бинарников.
• Проведите IOC‑hunting и анализ логов: ищите аномалии, связанные с именами архивов, нестандартными путями извлечения и поведением процессов WinRAR.
• Обучение пользователей: доведите до сотрудников правила безопасной работы с вложениями и архивами в почте и мессенджерах.
• Используйте песочницы и проверку файлов: для сомнительных архивов сначала выполняйте динамический анализ в изолированной среде.

Что должны сделать организации и пользователи

Организациям следует немедленно проверить наличие уязвимых версий WinRAR в сети и приоритетно развернуть обновления. Также важно интегрировать детектированные образцы и индикаторы компрометации в системы мониторинга и реагирования. Пользователям рекомендуется не открывать подозрительные архивы и своевременно устанавливать обновления программного обеспечения.

Случай с CVE-2025-6218 и APT-C-08 (Manlinghua) подчёркивает, что уязвимости в широко используемых приложениях представляют непрерывную угрозу. Оперативное применение базовых мер безопасности — обновления, контроль привилегий и мониторинг — остаётся лучшей защитой от подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "APT-C-08 (Manlinghua) эксплуатирует CVE-2025-6218: обход каталогов WinRAR".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.