Уязвимость с высокой точки зрения нулевого дня в широко используемой утилите сжатия файлов Winrar, идентифицированной как CVE-2015-8088, активно эксплуатируется двумя российскими группами киберпреступности, что привело к бэкдору компьютеров, которые открыли вредоносные архивы. ESET, безопасная фирма, впервые обнаружила эти атаки 18 июля, когда ее телеметрия отметила файл в необычном пути каталога. К 24 июля ESET определил, что деятельность была связана с неизвестной уязвимостью в Winrar, которая может похвастаться установленной базой в размере около 500 миллионов пользователей. Eset быстро уведомил разработчиков Winrar в тот же день, и шесть дней спустя было выпущено исправление.
Уязвимость с использованием альтернативных потоков данных, функция Windows, для использования недостатка прохождения пути. Это позволило посадить вредоносные исполняемые файлы в путях файлов, выбранных злоумышленником, в частности, %Temp %и %LocalAppData %, которые Windows обычно ограничивает из-за их способности выполнять код. ESET приписал эти атаки ROMCOM, финансово мотивированной группе киберпреступности, действующей из России. Антон Черепанов, Питер Страйхек и Дэмиен Шеффер отметили: «Используя ранее неизвестную уязвимость на нулевом дне в Winrar, группа ROMCOM показала, что она готова вложить серьезные усилия и ресурсы в свой кибер-операции. Это, по крайней мере, третий раз использовал уязвимость на нулевой дне в дикую природу, в котором выдвигают на основе атаки на атаку, используя атаку, используя атаку, используя и использует атаку, используя атаку, используя и использует атаку, используя атаку, используя атаку и использует атаку и использует атаку, используя атаку и использует атаку и использует атаку, используя атаку и использует атаку, использует атаку и использует атаку по приобретению.
Интересно, что ROMCOM не была единственной группой, эксплуатирующей CVE-2025-8088. Российская безопасная фирма Bi.Zone сообщила, что та же уязвимость также активно эксплуатируется группой, которую она отслеживает как бумажный оборотень, также известный как Гоффи. Эта группа одновременно эксплуатировала CVE-2015-6218, еще одну уязвимость Winrar, которая была исправлена за пять недель до того, как было выпущено исправление для CVE-2025-8088. Bi.zone заявил, что Paper gordwolf доставил эксплойты в июле и августе через архивы, прикрепленные к электронным письмам, выдавающим себя за сотрудников Всероссийского исследовательского института, с конечной целью установки вредоносных программ для получения доступа к зараженным системам.
Хотя открытия ESET и Bi.Zone были независимыми, остается неясным, связаны ли группы, использующие эти уязвимости или получали знания об эксплойтах от общего источника. Bi.Zone предположил, что бумажный оборотень, возможно, приобрел уязвимости на форуме по криминалистике на темном рынке. ESET наблюдал три различных цепочки исполнения в атаках, которые он контролировал. Одна цепочка, нацеленная на конкретную организацию, включала в себя выполнение вредоносного файла DLL, спрятанного в архиве с помощью Com Chacking. Этот метод вызвал выполнение DLL определенными приложениями, такими как Microsoft Edge. DLL расширил бы встроенный SheltCode, который затем получил доменное имя текущей машины и сравнила его с жестким значением. Если они соответствуют, то SheltCode установил пользовательский экземпляр платформы эксплуатации мифического агента.
Вторая цепочка выполнения включала в себя запуск злого исполняемого файла Windows для доставки Snipbot, известного фрагмента вредоносного ПО ROMCOM, в качестве окончательной полезной нагрузки. Это вредоносное ПО включало методы антианализа, оканчивающиеся на пустой виртуальной машине или песочнице, что является обычной практикой среди исследователей, чтобы уклониться от судебно-медицинского анализа. Третья цепочка выполнения использовала два других известных вариантов вредоносных программ ROMCOM: Rusticlaw и плавильный когти.
Уязвимости Winrar имеют историю эксплуатации для установки вредоносных программ. Уязвимость к выполнению кода в 2019 году увидела широкую эксплуатацию вскоре после исправления. Совсем недавно, в 2023 году, Winrar-нулевой день эксплуатировался более четырех месяцев, прежде чем были обнаружены атаки. Большая пользовательская база Winrar, в сочетании с отсутствием автоматизированного механизма обновления – требует пользователей вручную загружать и устанавливать патчи – делает его идеальным средством для распространения вредоносных программ. ESET также подчеркнул, что версии Windows of Командной линии UNRAR.DLL и портативного UNRAR Source Cod также являются уязвимыми. Пользователям рекомендуется обновляться до Winrar Version 7.13 или более поздней версии, что во время настоящего отчета включало исправления для всех известных уязвимостей. Однако, учитывая повторяющуюся природу ванраровых нулевых дней, это обеспечивает ограниченную гарантию в отношении будущих угроз.
Source: Winrar Zery-Day CVE-2025-8088 эксплуатируется ROMCOM
