Российские хакеры используют уязвимость нулевого дня WinRAR для атак на Европу и Канаду
Две группы российских хакеров воспользовались уязвимостью нулевого дня WinRAR для распространения вредоносного ПО с помощью фишинговых писем, нацеленных на тщательно выбранные цели.
Краткое описание:
Уязвимость WinRAR CVE-2025-8088 эксплуатируется уже несколько недель, затронув миллионы пользователей.
Две российские хакерские группы, RomCom и Paper Werewolf, воспользовались уязвимостью для распространения вредоносного ПО.
Методы атак включают в себя перехват COM-адреса, установку SnipBot, RustyClaw и Melting Claw.
WinRAR не обновляется автоматически, необходимо обновиться до версии 7.13, чтобы избежать рисков.
Уязвимость CVE-2025-8088 и как ее эксплуатировать
Популярный архиватор WinRAR только что исправил критическую уязвимость CVE-2025-8088, эксплуатируемую несколько недель. Уязвимость обхода пути использует функцию альтернативных потоков данных Windows, позволяя распаковывать вредоносные файлы в системные папки, такие как %TEMP% или %LOCALAPPDATA, что может привести к выполнению кода.
Компания ESET обнаружила признаки атаки 18 июля, обнаружив необычные файлы по странным путям. Всего через шесть дней после получения уведомления, 30 июля, WinRAR выпустил исправление (версия 7.13).
Команды RomCom и Paper Werewolf совместно используют
Компания ESET выявила, что за частью этой атаки стоит группа RomCom — финансово мотивированная киберпреступная группировка с богатой историей деятельности в России. Это уже третий случай, когда группировка использует уязвимость нулевого дня в целевой кампании.
Примечательно, что российская компания по кибербезопасности Bi.ZONE сообщила, что другая группа, Paper Werewolf (также известная как GOFFEE), параллельно эксплуатировала уязвимость CVE-2025-8088. Paper Werewolf также эксплуатировала CVE-2025-6218, ещё одну уязвимость WinRAR, исправленную пятью неделями ранее, отправляя электронные письма от имени сотрудников Всероссийского научно-исследовательского института, чтобы устанавливать вредоносное ПО на системы жертв.
Пока не ясно, связаны ли эти две группы между собой или же они приобрели информацию из одного и того же источника на черном рынке.
Сложная цепочка атак
По данным ESET, RomCom использует три основные цепочки атак:
Перехват COM-адреса: вредоносные DLL-файлы в сжатых файлах запускаются такими приложениями, как Microsoft Edge, декодируя шелл-код для проверки информации о машине и при необходимости устанавливая инструмент атаки Mythic Agent.
Исполняемая полезная нагрузка: запускает исполняемый файл Windows для установки SnipBot — виртуального шпионского ПО, блокирующего анализ.
Многоуровневое вредоносное ПО: использует другие вредоносные программы, такие как RustyClaw и Melting Claw, для сохранения доступа и контроля.
Риски, связанные с медленными обновлениями WinRAR
WinRAR неоднократно становился целью хакеров из-за большого количества пользователей (около 500 миллионов) и отсутствия автоматических обновлений. Пользователям приходится самостоятельно загружать и устанавливать исправления, что надолго оставляет многие системы уязвимыми.
ESET рекомендует избегать использования любой версии WinRAR до 7.13 и немедленно обновить ее, чтобы устранить все известные уязвимости.