ESETi uurimus: Vene rühmitus RomCom kasutab ära uut turvaauku ja ründab Euroopa ja Kanada ettevõtteid

Kui kasutate WinRAR-i või muid seonduvaid komponente, nagu selle käsurea utiliitide Windows-versioonid, UnRAR.dll või portatiivne UnRAR-i lähtekood, uuendage see kohe viimase versioonini.
ESET-i uurijad avastasid WinRAR-is varem tundmatu nullpäeva haavatavuse, mida kasutab Venemaaga seotud rühmitus RomCom.
Ärakasutamise võimaluste analüüsi tulemusena avastasime haavatavuse, millele on nüüdseks omistatud tunnus CVE-2025-8088: alternatiivsete andmevoogude kasutamisega on võimalikuks muutunud failirajaga seonduv haavatavus. Pärast sellest teavitamist avaldas WinRAR 30. juulil 2025 parandatud versiooni.
Edukates ekspluateerimiskatsetes saadeti ohvritele rühmituse RomCom kasutatavaid “tagauksi”, täpsemalt SnipBot-i variant, RustyClaw ja Mythic-agent.
See kuritegelik kampaania oli suunatud Euroopa ja Kanada finants-, tootmis-, kaitse- ja logistikaettevõtetele.

BRATISLAVA — August, 2025 — ESET-i uurijad on avastanud WinRAR-is varem tundmatu turvaaugu, mida on kasutanud Venemaaga seotud rühmitus RomCom. ESET-i telemeetria andmetel kasutati 18.–21. juulil 2025 toimunud spearphishing-kampaaniates pahatahtlikke arhiive, mille sihtmärkideks olid Euroopa ja Kanada finants-, tootmis-, kaitse- ja logistikaettevõtted. Rünnakute eesmärk oli küberluure. See on vähemalt kolmas kord, kui RomCom on tabatud olulise nullpäeva turvaaugu ärakasutamiselt.

„18. juulil märkasime RAR-arhiivis pahatahtlikku DLL-faili nimega msedge.dll, mis sisaldas ebatavalisi failiradu, mis äratasid meie tähelepanu. Täiendava analüüsi käigus leidsime, et ründajad kasutasid ära varem tundmatut WinRAR-i mõjutavat turvaauku, mis mõjutas ka tolleaegset versiooni 7.12. 24. juulil võtsime ühendust WinRAR-i arendajaga; samal päeval parandati turvaauk beetaversioonis ja mõni päev hiljem ilmus parandatud täisversioon. Soovitame WinRAR-i kasutajatel paigaldada võimalikult kiiresti uusim versioon, et riski vähendada,” ütleb ESET-i teadur Peter Strýček, kes avastas vea koos teise ESET-i teaduri Anton Cherepanoviga. Turvaauk CVE-2025-8088 on failirajaga seonduv turvaauk, mis tekib alternatiivsete andmevoogude kasutamise tõttu.

Rakendusdokumendiks maskeeritud ründeotstarbelised arhiivid kasutasid sihtmärkide ohustamiseks failiraja andmevoogu. Spearphishing-kirjas saatsid ründajad CV, lootes, et uudishimulik sihtmärk selle avab. ESET-i telemeetria andmetel ei õnnestunud ühtegi sihtmärki kahjustada. Ründajad olid aga eelnevalt teinud luuret ja kirjad olid väga sihipärased. Edukate ärakasutamiskatsete käigus viidi sisse mitmesugused rühmituse RomCom kasutatavad tagauksed, täpsemalt SnipBot-i variant, RustyClaw ja Mythic-agent.

ESET-i uurijad seostavad täheldatud tegevust väga tõenäoliselt rühmitusega RomCom, võttes arvesse sihtpiirkonda, kasutatud taktikaid, tehnikaid ja protseduure (TTP) ning kasutatud pahavara. RomCom (tuntud ka kui Storm-0978, Tropical Scorpius või UNC2596) on Venemaaga seotud rühmitus, mis viib läbi nii valitud ärivaldkondade vastu suunatud oportunistlikke kampaaniaid kui ka sihipäraseid spionaažioperatsioone. Rühmituse fookus on nihkunud tavapärasemate küberkuritegevuse operatsioonide kõrval ka luureoperatsioonidele, mille käigus kogutakse luureandmeid. Rühmituse kasutatav tagauks võimaldab ohvri arvutis käskude täitmist ja täiendavate moodulite allalaadimist. RomCom on ka varem ohvrite kahjustamiseks haavatavusi kasutanud. 2023. aasta juunis viis rühmitus läbi spearphishing-kampaania, mille sihtmärgiks olid Euroopa kaitse- ja valitsusasutused ning mille peibutis oli seotud Ukraina Maailmakongressiga.

„Kasutades ära WinRAR-i varem tundmatut nullpäeva haavatavust, on rühmitus RomCom näidanud, et on valmis investeerima oma küberoperatsioonidesse märkimisväärseid jõupingutusi ja ressursse. Avastatud kampaania oli suunatud sektoritele, mis vastavad Venemaaga seotud rühmituste tüüpilistele huvidele, see aga viitab operatsiooni geopoliitilisele iseloomule,” järeldab Strýcek.

Rühmituse RomCom viimase kuritegeliku kampaania üksikasjalikuma analüüsi ja tehnilise ülevaate leiate ESET-i uurijate viimasest blogipostitusest „Update WinRAR tools now: RomCom and others exploiting zero-day vulnerability” (Värskenda WinRARi tööriistad kohe: RomCom ja teised kasutavad nullpäeva haavatavust) veebisaidil WeLiveSecurity.com. Jälgige ESET-i uurijaid Twitteris (tänapäeval tuntud kui X), BlueSkys ja Mastodonis, et saada ESET-i uuringute uusimaid uudiseid.

ESET Blog 2025 aug. 25 - 15:18:56

IT uudised ja teadmised ESETi kogukonnalt

Sarnased artiklid

Kiirusejanu: miks organisatsioonid pöörduvad kiire ja usaldusväärse MDR-teenuse poole

Kas küberkurjategijad häkivad teie süsteeme või lihtsalt logivad sisse?

ESET uuendab oma koduturbe lahendusi, et kaitsta kasutajaid uute lunavara ja pettuste eest

Nad varastavad teie andmed! Mis on infovargad ja kuidas neid vältida?