与APT41相关的“紫水晶龙”利用WinRAR CVE-2025-8088发起间谍活动

与APT41相关的威胁组织利用WinRAR零日漏洞发起定向间谍活动

近期发现的网络间谍组织**“紫水晶龙”（Amaranth Dragon），与中国国家支持的APT41存在关联，正利用WinRAR中的严重漏洞CVE-2025-8088对政府及执法机构**发起定向攻击。该漏洞目前仍处于活跃利用状态，可使威胁行为者在易受攻击的系统上执行任意代码。

CVE-2025-8088技术细节

CVE-2025-8088是一个影响WinRAR 7.0.1之前版本的远程代码执行（RCE）漏洞，WinRAR是一款广泛使用的文件压缩工具。该漏洞源于WinRAR在处理特制归档文件时存在的路径遍历问题，允许攻击者在敏感系统目录（如Windows启动文件夹）中植入恶意负载。

一旦被利用，该漏洞可使威胁行为者：

• 以用户权限执行任意命令
• 部署额外恶意软件以实现持久化和横向移动
• 从受感染系统中窃取敏感数据

安全研究人员指出，该攻击链通过包含武器化归档文件的钓鱼邮件传播，受害者打开后即可触发漏洞利用，无需进一步用户交互。

影响与归因

“紫水晶龙”的攻击活动与APT41的历史攻击模式一致，主要针对东南亚及北美的政府、国防及执法机构。尽管归因仍具挑战性，但重叠的战术、技术与程序（TTPs）——包括使用自定义恶意软件家族及基础设施复用——强烈表明其与中国高级持续性威胁（APT）组织存在关联。

CVE-2025-8088的利用凸显了国家支持的威胁行为者越来越倾向于利用广泛部署的软件绕过传统安全控制的趋势。由于WinRAR拥有5亿以上用户，该漏洞对依赖该工具进行文件压缩和解压的组织构成重大风险。

缓解措施与建议

安全团队应立即采取行动，降低与CVE-2025-8088相关的风险：

1. 补丁管理

   • 升级至WinRAR 7.0.1或更高版本，以消除漏洞。
   • 部署自动化补丁管理工具，确保所有终端及时更新。

2. 电子邮件安全

   • 阻止或隔离来自不可信来源的归档文件（.RAR、.ZIP）。
   • 实施沙盒解决方案，在交付前分析可疑附件。

3. 终端防护

   • 强制实施应用程序白名单，防止未经授权的WinRAR或其他归档工具执行。
   • 监控异常进程活动，特别是启动文件夹或其他自动执行路径中的活动。

4. 威胁狩猎

   • 搜索与“紫水晶龙”相关的入侵指标（IOCs），包括：
     • 具有异常结构的恶意归档文件
     • 与已知APT41命令与控制（C2）服务器的异常网络连接
     • 注册表或计划任务中的持久化机制

5. 用户意识培训

   • 开展钓鱼模拟演练，培训员工识别恶意附件。
   • 强调打开未经请求的归档文件的风险，即使其看似来自合法来源。

结论

“紫水晶龙”对CVE-2025-8088的利用凸显了高风险行业主动进行漏洞管理的迫切需求。组织必须优先考虑补丁管理、电子邮件安全及终端监控，以防御复杂的网络间谍活动。随着国家支持的威胁行为者不断改进其战术，安全团队应对广泛使用软件中的新兴零日漏洞保持警惕。

更多详情，请参阅BleepingComputer的原始报告。