Исследовательская группа ESET: российская группа RomCom использует новую уязвимость и атакует компании в Европе и Канаде

Если вы используете WinRAR или другие пострадавшие компоненты, такие как версии Windows его утилит командной строки, UnRAR.dll или переносимый исходный код UnRAR, немедленно обновитесь до последней версии.
Исследователи ESET обнаружили ранее неизвестную уязвимость нулевого дня в WinRAR, которая используется в естественных условиях группой RomCom, связанной с Россией.
Анализ эксплойта привел к обнаружению уязвимости, которой теперь присвоен номер CVE-2025-8088: уязвимость обхода пути, возможная благодаря использованию альтернативных потоков данных. После уведомления WinRAR выпустил исправленную версию 30 июля 2025 года.
Успешные попытки эксплуатации доставляли различные бэкдоры, используемые группой RomCom, в частности, вариант SnipBot, RustyClaw и агент Mythic.
Эта кампания была направлена на финансовые, производственные, оборонные и логистические компании в Европе и Канаде.

БРАТИСЛАВА — 11 августа 2025 г. — Исследователи ESET обнаружили ранее неизвестную уязвимость в WinRAR, эксплуатируемую в естественных условиях российской группой RomCom. Согласно данным телеметрии ESET, вредоносные архивы использовались в кампаниях по спирфишингу в период с 18 по 21 июля 2025 года, направленных на финансовые, производственные, оборонные и логистические компании в Европе и Канаде. Целью атак был кибершпионаж. Это уже как минимум третий случай, когда группа RomCom была поймана на использовании значительной уязвимости нулевого дня в естественных условиях.

«18 июля мы обнаружили вредоносную библиотеку DLL с именем msedge.dll в RAR-архиве, содержащем необычные пути, которые привлекли наше внимание. После дальнейшего анализа мы обнаружили, что злоумышленники использовали ранее неизвестную уязвимость, затрагивающую WinRAR, включая актуальную на тот момент версию 7.12. 24 июля мы связались с разработчиком WinRAR; в тот же день уязвимость была устранена в бета-версии, а полная версия вышла несколько дней спустя. Мы советуем пользователям WinRAR как можно скорее установить последнюю версию, чтобы снизить риск», — рассказал исследователь ESET Петер Стрычек, который сделал это открытие вместе с другим исследователем ESET Антоном Черепановым. Уязвимость CVE-2025-8088 представляет собой уязвимость обхода пути, которая становится возможной благодаря использованию альтернативных потоков данных.

Замаскированные под документ приложения, вепонизированные архивы использовали поток обхода путей для взлома объектов. В спирфишинговом электронном письме злоумышленники отправили резюме, надеясь, что любопытствующий объект откроет его. Согласно данным телеметрии ESET, ни один из объектов не был взломан. Однако злоумышленники заранее провели разведку, и электронные письма были очень целенаправленными. Успешные попытки эксплуатации доставляли различные бэкдоры, используемые группой RomCom — в частности, вариант SnipBot, RustyClaw и агент Mythic.

Исследовательская группа ESET с высокой степенью уверенности приписывает наблюдаемые действия группе RomCom, основываясь на целевом регионе, тактике, методах и процедурах (TTP), а также используемых вредоносных программах. RomCom (также известная как Storm-0978, Tropical Scorpius или UNC2596) — это связанная с Россией группа, которая проводит как оппортунистические кампании против отдельных вертикалей бизнеса, так и целенаправленные операции шпионажа. Параллельно с более традиционными операциями по борьбе с киберпреступностью эта группа стала заниматься шпионажем и сбором разведывательной информации. Используемый группой бэкдор способен выполнять команды и загружать дополнительные модули на машину жертвы. Это не первый случай, когда RomCom использует эксплойты для взлома машин своих жертв. В июне 2023 года группа провела спирфишинговую кампанию, направленную на оборонные и правительственные организации в Европе, с приманками, связанными с Украинским всемирным конгрессом.

«Эксплуатируя ранее неизвестную уязвимость нулевого дня в WinRAR, группа RomCom продемонстрировала, что она готова вкладывать серьезные усилия и ресурсы в свои кибероперации. Обнаруженная кампания была направлена на сектора, которые соответствуют типичным интересам APT-групп, связанных с Россией, что позволяет предположить геополитическую подоплеку операции», — заключил Стрычек.

Более подробный анализ и техническую информацию о последней кампании RomCom можно найти в последнем блоге Исследовательской группы ESET «Обновите инструменты WinRAR прямо сейчас: RomCom и другие эксплуатируют уязвимость нулевого дня» на WeLiveSecurity.com. Для получения последних новостей от Исследовательской группы ESET обязательно следите за ней в Twitter (известном сегодня как X), BlueSky и Mastodon.

Katrin Anniko 2025 Авг 25 - 15:18:56

Новости информационной безопасности и знаний от сообщества ESET

Похожие статьи

Они охотятся за вашими данными: какие бывают инфокрады и как от них защититься?

Защита с помощью ESET MDR

ESET представила обновления для устранения рансомного ПО и ИИ-советника на выставке ESET World 2025

Почему организация AV-Comparatives назвала ESET HOME Security Essential «Продуктом года» и что это значит для домашних пользователей.