Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,483
- Баллы
- 155
В июле и начале августа 2025 года шпионская хак-группа Paper Werewolf атаковала несколько организаций из России и Узбекистана. К фишинговым письмам были приложены RAR‑архивы якобы с важными документами, а на самом деле — с малварью. Злоумышленники воспользовались двумя уязвимостями в WinRAR, которые позволяют установить вредоносное ПО при распаковке архива.
Как сообщают аналитики компании , одной из целей группировки был российский производитель спецоборудования. Атакующие отправили цели письмо от лица крупного научно-исследовательского института, причем воспользовались для этого скомпрометированным почтовым адресом другой реально существующей компании — производителя мебели.
В приложенном к письму RAR‑архиве содержались фальшивые «документы из министерства», а также исполняемый файл XPS Viewer. Это легитимная программа, но атакующие модифицировали ее исполняемый файл, добавив внутрь вредоносный код. Он давал им возможность удаленно выполнять команды и управлять скомпрометированным устройством.
Исследователи отмечают, что WinRAR пользуются почти 80% российских компаний и практически все сотрудники, чьи корпоративные устройства работают под управлением Windows.
Для атаки на упомянутого производителя оборудования Paper Werewolf воспользовалась уязвимостью , которая затрагивает версии WinRAR до 7.11 включительно. В более поздних атаках, нацеленных на компании из России и Узбекистана, злоумышленники сделали ставку на новую, не описанную на тот момент уязвимость нулевого дня, которая затрагивает также версию WinRAR 7.12.
При этом незадолго до этих атак на одном из хак-форумов появилось объявление о продаже якобы рабочего эксплоита, предположительно, для этой уязвимости. Продавец запрашивал за него 80 000 долларов.