Поделиться
Кибершпионы Paper Werewolf используют для атак уязвимости в WinRAR
В июле — начале августа 2025 г. шпионская кибергруппировка Paper Werewolf атаковала несколько организаций из России и Узбекистана. К фишинговым письмам прилагались RAR-архивы якобы с важными документами, а на самом деле — с вредоносным ПО. Об этом CNews сообщили представители Bi.Zone.
Злоумышленники воспользовались двумя уязвимостями в WinRAR, которые позволяли при распаковке архива устанавливать ВПО на скомпрометированное устройство незаметно для жертвы.
Олег Скулкин, руководитель Bi.Zone Threat Intelligence: «Ориентированные на шпионаж группировки продолжают экспериментировать с методами и инструментами, в том числе пополняют свой арсенал новыми уязвимостями. Используя RAR-архивы, атакующие преследовали сразу две цели: не только эксплуатировали уязвимости в WinRAR для установки ВПО, но и увеличивали шансы на то, что фишинговое письмо преодолеет фильтры в электронной почте, ведь такие вложения в деловой переписке — обычное дело».
Одной из целей Paper Werewolf стал российский производитель спецоборудования. Атакующие отправили письмо от лица крупного научно-исследовательского института, причем воспользовались для этого скомпрометированным почтовым адресом другой реально существующей компании — производителя мебели. В приложенном к письму RAR-архиве были «документы из министерства», а также исполняемый файл XPS Viewer. Это легитимная программа, но атакующие модифицировали ее исполняемый файл, добавив внутрь вредоносный код. Он давал им возможность удаленно выполнять команды и управлять скомпрометированным устройством.
Для атаки на производителя оборудования Paper Werewolf воспользовалась уязвимостью CVE-2025-6218, которая затрагивает версии WinRAR до 7.11 включительно. В более поздних атаках, нацеленных на компании из России и Узбекистана, злоумышленники сделали ставку на новую, не описанную на тот момент уязвимость нулевого дня, которая затрагивает также версию WinRAR 7.12. Примечательно, что незадолго до этих атак на одном из теневых форумов появилось объявление о продаже якобы рабочего эксплоита, предположительно, для этой уязвимости. Продавец запрашивал за него $80 тыс.
По данным Bi.Zone TDR, 79% российских компаний используют WinRAR в своих рабочих процессах, а доля рабочих устройств на Windows, где установлен этот архиватор, приближается к 100%. Ранее представитель WinRAR сообщал, что в месяц компания продает около 10 тыс. лицензий на архиватор. Это делает WinRAR одной из самых популярных программ как у обычных пользователей, так и в корпоративном сегменте.
Ранее специалисты Bi.Zone Threat Intelligence подсчитали, что 36% всех кибератак на Россию с начала 2025 г. совершались с целью шпионажа.
Короткая ссылка
