Группировка Paper Werewolf использует для атак уязвимости в WinRAR - «Новости»

  • 14:30, 10-авг-2025
  • Преимущества стилей / Вёрстка / Новости
  • Нина
  • 0

В июле и начале августа 2025 года шпионская хак-группа Paper Werewolf атаковала несколько организаций из России и Узбекистана. К фишинговым письмам были приложены RAR‑архивы якобы с важными документами, а на самом деле — с малварью. Злоумышленники воспользовались двумя уязвимостями в WinRAR, которые позволяют установить вредоносное ПО при распаковке архива.


Как сообщают аналитики компании BI.ZONE, одной из целей группировки был российский производитель спецоборудования. Атакующие отправили цели письмо от лица крупного научно-исследовательского института, причем воспользовались для этого скомпрометированным почтовым адресом другой реально существующей компании — производителя мебели.


В приложенном к письму RAR‑архиве содержались фальшивые «документы из министерства», а также исполняемый файл XPS Viewer. Это легитимная программа, но атакующие модифицировали ее исполняемый файл, добавив внутрь вредоносный код. Он давал им возможность удаленно выполнять команды и управлять скомпрометированным устройством.


Исследователи отмечают, что WinRAR пользуются почти 80% российских компаний и практически все сотрудники, чьи корпоративные устройства работают под управлением Windows.


Для атаки на упомянутого производителя оборудования Paper Werewolf воспользовалась уязвимостью CVE‑2025‑6218, которая затрагивает версии WinRAR до 7.11 включительно. В более поздних атаках, нацеленных на компании из России и Узбекистана, злоумышленники сделали ставку на новую, не описанную на тот момент уязвимость нулевого дня, которая затрагивает также версию WinRAR 7.12.


При этом незадолго до этих атак на одном из хак-форумов появилось объявление о продаже якобы рабочего эксплоита, предположительно, для этой уязвимости. Продавец запрашивал за него 80 000 долларов.


«Ориентированные на шпионаж группировки продолжают экспериментировать с методами и инструментами, в том числе пополняют свой арсенал новыми уязвимостями. Используя RAR‑архивы, атакующие преследовали сразу две цели: не только эксплуатировали уязвимости в WinRAR для установки ВПО, но и увеличивали шансы на то, что фишинговое письмо преодолеет фильтры в электронной почте, ведь такие вложения в деловой переписке — обычное дело», — комментирует Олег Скулкин, руководитель BI.ZONE Threat Intelligence.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В июле и начале августа 2025 года шпионская хак-группа Paper Werewolf атаковала несколько организаций из России и Узбекистана. К фишинговым письмам были приложены RAR‑архивы якобы с важными документами, а на самом деле — с малварью. Злоумышленники воспользовались двумя уязвимостями в WinRAR, которые позволяют установить вредоносное ПО при распаковке архива. Как сообщают аналитики компании BI.ZONE, одной из целей группировки был российский производитель спецоборудования. Атакующие отправили цели письмо от лица крупного научно-исследовательского института, причем воспользовались для этого скомпрометированным почтовым адресом другой реально существующей компании — производителя мебели. В приложенном к письму RAR‑архиве содержались фальшивые «документы из министерства», а также исполняемый файл XPS Viewer. Это легитимная программа, но атакующие модифицировали ее исполняемый файл, добавив внутрь вредоносный код. Он давал им возможность удаленно выполнять команды и управлять скомпрометированным устройством. Исследователи отмечают, что WinRAR пользуются почти 80% российских компаний и практически все сотрудники, чьи корпоративные устройства работают под управлением Windows. Для атаки на упомянутого производителя оборудования Paper Werewolf воспользовалась уязвимостью CVE‑2025‑6218, которая затрагивает версии WinRAR до 7.11 включительно. В более поздних атаках, нацеленных на компании из России и Узбекистана, злоумышленники сделали ставку на новую, не описанную на тот момент уязвимость нулевого дня, которая затрагивает также версию WinRAR 7.12. При этом незадолго до этих атак на одном из хак-форумов появилось объявление о продаже якобы рабочего эксплоита, предположительно, для этой уязвимости. Продавец запрашивал за него 80 000 долларов. «Ориентированные на шпионаж группировки продолжают экспериментировать с методами и инструментами, в том числе пополняют свой арсенал новыми уязвимостями. Используя RAR‑архивы, атакующие преследовали сразу две цели: не только эксплуатировали уязвимости в WinRAR для установки ВПО, но и увеличивали шансы на то, что фишинговое письмо преодолеет фильтры в электронной почте, ведь такие вложения в деловой переписке — обычное дело», — комментирует Олег Скулкин, руководитель BI.ZONE Threat Intelligence.

Другие новости

Рекомендуем

Комментарии (0)



Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!

Похожие новости дня

Видео уроки

Scaly Wolf снова атакует российский ...

Редакторы Wikipedia будут быстро удалять статьи, ...

Владельцы автомобилей Lixiang сталкиваются со ...

Microsoft рассказала об уязвимости Sploitlight, ...

Популярное


✔ Новости мира Интернет

ВАША РЕКЛАМА
ДОБАВИТЬ БАННЕР
      

Разное но интересное


Google Gemini внезапно заработал в России без ограничений и ухищрений -..

Чат-бот на основе искусственного интеллекта Google Gemini неожиданно стал доступен российским пользователям напрямую, без различных ухищрений и обходных путей. Как показала быстрая проверка...