Кибершпионы используют для атак уязвимости в WinRAR

В период с июля по начало августа 2025 года шпионская кибергруппировка Paper Werewolf атаковала несколько организаций из России и Узбекистана. К фишинговым письмам прилагались RAR-архивы с вредоносным ПО, которые распространялись под видом важных документов. 

Злоумышленники воспользовались двумя уязвимостями в WinRAR, которые позволяли при распаковке архива устанавливать ВПО на устройство жертвы незаметно для нее. Этим архиватором пользуются почти 80% российских компаний и практически все сотрудники, чьи корпоративные устройства работают на Windows. 

«Ориентированные на шпионаж группировки продолжают экспериментировать с методами и инструментами, в том числе пополняют свой арсенал новыми уязвимостями. Используя RAR-архивы, атакующие преследовали сразу две цели: не только эксплуатировали уязвимости в WinRAR для установки ВПО, но и увеличивали шансы на то, что фишинговое письмо преодолеет фильтры в электронной почте, ведь такие вложения в деловой переписке – обычное дело», – рассказал IT Speaker Олег Скулкин, руководитель BI.ZONE Threat Intelligence. 

Одной из целей Paper Werewolf стал российский производитель спецоборудования. Хакеры отправили письмо от лица крупного научно-исследовательского института, используя для этого взломанный почтовый адрес другой реально существующей компании – производителя мебели. В приложенном к письму RAR-архиве были «документы из министерства», а также исполняемый файл XPS Viewer. Это легитимная программа, но атакующие модифицировали ее исполняемый файл, добавив внутрь вредоносный код. С его помощью хакеры могли удаленно выполнять команды и управлять скомпрометированным устройством. 

Для атаки на производителя оборудования Paper Werewolf воспользовалась уязвимостью CVE-2025-6218, которая затрагивает версии WinRAR до 7.11 включительно. В более поздних атаках, нацеленных на компании из России и Узбекистана, злоумышленники использовали новую, не описанную на тот момент уязвимость нулевого дня, которая затрагивает также версию WinRAR 7.12. 

Ранее эксперты компании Positive Technologies выявили серьезную уязвимость в компоненте Remote Access Connection Manager, который отвечает за установку VPN-соединений в операционных системах Microsoft. Проблема затрагивает 37 продуктов корпорации, включая актуальные версии Windows 10, 11, а также серверные платформы Windows Server 2022 и 2025.