Эксперты предупредили об атаках хакеров через WinRAR
Группа хакеров Paper Werewolf использует уязвимости WinRAR для проведения хакерских атак. К таким выводам пришла компания Bi.zone, говорится в сообщении, поступившем в РБК. WinRAR, один из самых популярных архиваторов в России, используемый почти 80% российских компаний на Windows.
Хакеры Paper Werewolf совершили в июле — начале августа 2025 года серию кибератак против организаций из России и Узбекистана. Злоумышленники использовали фишинговые письма с RAR-архивами, содержащими вредоносное ПО, и эксплуатировали две уязвимости в WinRAR для скрытой установки этих ВПО на устройства жертв.
«Ориентированные на шпионаж группировки продолжают экспериментировать с методами и инструментами, в том числе пополняют свой арсенал новыми уязвимостями. Используя RAR-архивы, атакующие преследовали сразу две цели: не только эксплуатировали уязвимости в WinRAR для установки ВПО, но и увеличивали шансы на то, что фишинговое письмо преодолеет фильтры в электронной почте, ведь такие вложения в деловой переписке — обычное дело», — рассказал руководитель Bi.zone Threat Intelligence Олег Скулкин.
Одной из целей кибератак Paper Werewolf стал российский производитель спецоборудования. Злоумышленники, используя скомпрометированный email, отправили фишинговое письмо с «документами из министерства» и модифицированным XPS Viewer, который позволял удаленно управлять взломанным устройством.
Paper Werewolf сначала использовала уязвимость CVE-2025-6218 в WinRAR 7.11, а затем перешла на эксплуатацию новой, которая затрагивает версию программы WinRAR 7.11. Незадолго до этого на теневом форуме появился эксплоит для этой уязвимости, за который продавец просил $80 тыс.
WinRAR — один из самых популярных архиваторов в России, его используют 79% российских компаний на рабочих устройствах с Windows. Спрос подтверждается высокими продажами лицензий около 10 000 в месяц. Однако популярность делает его привлекательной целью для кибершпионажа, на который, по данным Bi.zone Threat Intelligence, приходится 36% всех кибератак на Россию с начала 2025 года с целью шпионажа.
Читайте РБК в Telegram.
