В июле и начале августа 2025 года шпионская хак-группа Paper Werewolf атаковала несколько организаций из России и Узбекистана. К фишинговым письмам были приложены RAR‑архивы якобы с важными документами, а на самом деле — с малварью. Злоумышленники воспользовались двумя уязвимостями в WinRAR, которые позволяют установить вредоносное ПО при распаковке архива.

Как сообщают аналитики компании BI.ZONE, одной из целей группировки был российский производитель спецоборудования. Атакующие отправили цели письмо от лица крупного научно-исследовательского института, причем воспользовались для этого скомпрометированным почтовым адресом другой реально существующей компании — производителя мебели.

В приложенном к письму RAR‑архиве содержались фальшивые «документы из министерства», а также исполняемый файл XPS Viewer. Это легитимная программа, но атакующие модифицировали ее исполняемый файл, добавив внутрь вредоносный код. Он давал им возможность удаленно выполнять команды и управлять скомпрометированным устройством.

Исследователи отмечают, что WinRAR пользуются почти 80% российских компаний и практически все сотрудники, чьи корпоративные устройства работают под управлением Windows.

Для атаки на упомянутого производителя оборудования Paper Werewolf воспользовалась уязвимостью CVE‑2025‑6218, которая затрагивает версии WinRAR до 7.11 включительно. В более поздних атаках, нацеленных на компании из России и Узбекистана, злоумышленники сделали ставку на новую, не описанную на тот момент уязвимость нулевого дня, которая затрагивает также версию WinRAR 7.12.

При этом незадолго до этих атак на одном из хак-форумов появилось объявление о продаже якобы рабочего эксплоита, предположительно, для этой уязвимости. Продавец запрашивал за него 80 000 долларов.

«Ориентированные на шпионаж группировки продолжают экспериментировать с методами и инструментами, в том числе пополняют свой арсенал новыми уязвимостями. Используя RAR‑архивы, атакующие преследовали сразу две цели: не только эксплуатировали уязвимости в WinRAR для установки ВПО, но и увеличивали шансы на то, что фишинговое письмо преодолеет фильтры в электронной почте, ведь такие вложения в деловой переписке — обычное дело», — комментирует Олег Скулкин, руководитель BI.ZONE Threat Intelligence.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии