Kaksi Venäjän verkkorikollisuutta on aktiivisesti hyödyntänyt aktiivisesti erittäin käytettyjen winrar-tiedostojen pakkausapuohjelman korkean vakavan nollapäivän haavoittuvuutta, joka on tunnistettu CVE-2015-8088, mikä johtaa haitallisia arkistoja avasivien tietokoneiden takaisinoppimiseen. ESET, turvallisuusyritys, havaitsi ensin nämä hyökkäykset 18. heinäkuuta, kun sen telemetria merkitsi tiedoston epätavallisella hakemistopolulla. 24. heinäkuuta mennessä ESET totesi, että aktiviteetti liittyi Winrarin tuntemattomaan haavoittuvuuteen, jolla on noin 500 miljoonan käyttäjän asennettu tukikohta. ESET ilmoitti viipymättä WinRAR -kehittäjille samana päivänä, ja korjaus vapautettiin kuusi päivää myöhemmin.
Haavoittuvuus hyödyntää vaihtoehtoisia tietovirtoja, Windows -ominaisuutta, polun läpikulkuvirheen hyödyntämiseksi. Tämä salli haitallisten suoritettavien istuttamisen hyökkääjän valittuihin tiedostopolkuihin, erityisesti %Temp %ja %LocalAppData %, jotka Windows yleensä rajoittuu niiden kyvyn suorittamisen vuoksi. ESET katsoi nämä hyökkäykset Romcomille, joka on taloudellisesti motivoitunut tietoverkkoryhmäryhmä, joka toimii Venäjältä. Esetin Anton Cherepanov, Peter Strýček ja Damien Schaeffer totesivat: ”Hyödyntämällä aiemmin tuntemattomia nollapäivän haavoittuvuutta Winrarissa, Romcom-ryhmä on osoittanut, että se on halukas sijoittamaan vakavia ponnisteluja ja resursseja tietoverkkokeilyyn. Tämä on ainakin kolmas kerta, kun Romcom on käyttänyt nollapäivän haavoittuvuutta villiinsä.
Mielenkiintoista on, että Romcom ei ollut ainoa ryhmä, joka käytti CVE-2015-8088. Venäjän turvallisuusyritys Bi.zone kertoi, että myös samaa haavoittuvuutta hyödynsi aktiivisesti ryhmä, jota se seuraa paperin ihmissusi, joka tunnetaan myös nimellä Goffee. Tätä ryhmää hyödynsi samanaikaisesti CVE-2025-6218, toista korkean vakavan WinRAR-haavoittuvuutta, joka oli korjattu viisi viikkoa ennen CVE-2015-8088: n korjausta. BI.ZONE totesi, että paperin ihmissusi toimitti hyväksikäytöt heinäkuussa ja elokuussa arkistojen kautta, jotka liittyivät All-Venäjän tutkimuslaitoksen työntekijöihin, jotka liittyvät All-Venäjän tutkimuslaitoksen työntekijöihin. Haittaohjelmien lopullinen tavoite saavuttaa tartunnan saaneet järjestelmät.
![Nintendo Switch Lite wird gehackt [VIDEO]](https://fi.techbriefly.com/wp-content/uploads/sites/2/2020/11/1606308505_Nintendo-Switch-Lite-wird-gehackt-VIDEO.jpg)
Vaikka ESET: n ja BI.ZONE: n löytöt olivat riippumattomia, on edelleen epäselvää, onko näitä haavoittuvuuksia hyödyntäneet ryhmät kytkettynä vai saadaanko hyödyntää tietoa jaetusta lähteestä. BI.ZONE spekuloi, että paperi -ihmissusi on saattanut hankkia haavoittuvuudet tumman markkinoiden rikosfoorumin kautta. ESET havaitsi kolme erillistä suoritusketjua tarkkailemansa hyökkäyksissä. Yksi ketju, joka on kohdistettu tiettyyn organisaatioon, sisälsi haitallisen DLL -tiedoston toteuttamisen arkistoon COM -kaappauksen kautta. Tämä menetelmä aiheutti DLL: n suorittamisen tietyillä sovelluksilla, kuten Microsoft Edge. DLL salaa upotettu ShellCode, joka nousi sitten nykyisen koneen verkkotunnuksen ja vertasi sitä kovakoodattuun arvoon. Jos ne sovittavat, ShellCode asensi mukautetun ilmentymän myyttisen agentin hyödyntämiskehyksestä.
Toinen suoritusketju sisälsi haitallisen ikkunan suorittamisen suoritettavan Snipbotin, joka on tunnettu Romcom -haittaohjelma, lopullisena hyötykuormana. Tämä haittaohjelma sisällytti analyysianalyysitekniikat, jotka päättyvät tyhjään virtuaalikoneeseen tai hiekkalaatikkoon, joka on tutkijoiden yleinen käytäntö rikosteknisen analyysin välttämiseksi. Kolmannessa suoritusketjussa käytettiin kahta muuta tunnettua Romcom -haittaohjelmavarianttia: Rusteklaw ja sulatuskynsi.
Winrar -haavoittuvuuksilla on historiaa, että niitä käytetään haittaohjelmien asennukseen. Vuodesta 2019 pidetyssä koodinvalmiushaavossa oli laaja hyväksikäyttö pian korjaamisen jälkeen. Äskettäin, vuonna 2023, Winrar-nollapäivää hyväksyttiin yli neljä kuukautta ennen hyökkäysten havaitsemista. Winrarin suuri käyttäjäkunta yhdistettynä automatisoidun päivitysmekanismin puuttumiseen – pyytävät käyttäjiä lataamaan ja asentamaan korjaustiedostoja manuaalisesti – tekee siitä ihanteellisen ajoneuvon haittaohjelmien etenemiseen. ESET korosti myös, että komentorivi-apuohjelman UNRAR.dll ja kannettavan UNRAR-lähdekoodin Windows-versiot ovat myös haavoittuvia. Käyttäjiä kehotetaan päivittämään WinRAR -versioon 7.13 tai uudempaan, joka tämän raportin tekohetkellä sisälsi korjauksia kaikille tunnetuille haavoittuvuuksille. Winrar-nollapäivien toistuvan luonteen vuoksi tämä tarjoaa kuitenkin rajoitetun varmuuden tulevista uhista.
