„WinRAR“ paverstas ginklu
Rugpjūčio 8 d. ESET tyrėjai pranešė, kad su Rusija susijęs grėsmės veikėjas RomCom išnaudojo WinRAR CVE-2025-8088 pažeidžiamumą spearphishing atakose.
„Path traversal“ pažeidžiamumas (7.13 ištaisytas) leido specialiai sukurtiems archyvams įdėti vykdomuosius failus į automatinio paleidimo direktorijas. Taigi ataka buvo paprasta: nusiųsti kenkėjišką RAR failą, kuris neatrodo įtartinas (pavyzdžiui, siunčiamas CV, o peržiūrint archyvą su WinRAR, matosi tik PDF failas), jį išarchyvuojant įdedamas kenksmingas failas, kuris pasileidžia su kitu prisijungimu ir užpuolikai turi prieigą.
Tai buvo antras kartas, kai WinRAR buvo išnaudota „path traversal“ pažeidžiamumas (pirmas kartas buvo birželio mėnesį, CVE-2025-6218). Dabar rėmėsi ADS triuku – vykdomųjų failų paslėpimu NTFS alternatyviuose duomenų srautuose, todėl jie tapdavo praktiškai nematomi aukoms.
Vartotojai privalo atsinaujinti WinRAR, kuriame nėra automatinio atnaujinimo funkcijos. Kai ESET apie tai paskelbė viešai, RomCom jau kelias savaites aktyviai naudojo tai spearphishing kampanijose.
Kas dar įvyko 2025 m. rugpjūčio mėnesį?
Rugpjūčio mėnesį įsilaužėliai ėmėsi veiksmų prieš platformomis, kuriomis mes pasitikime savo duomenimis. Tai buvo mėnuo, kurį pažymėjo didžiuliai tiekimo grandinės sutrikimai ir rizikingi politiniai veiksmai.
Būkite budrūs, automatizuokite savo higieną ir nepamirškite, kad jūsų saugumas yra toks pat stiprus, kaip ir nepastebima trečiosios šalies integracija.
Šaltiniai:
Šis straipsnis – dalis „SOCshare“ projekto, kuriuo siekiama skatinti efektyvesnį dalijimąsi informacija apie kibernetines grėsmes ir jų aptikimo būdus. Projektą iš dalies finansuoja Europos Sąjunga. Išsakytos nuomonės ir požiūriai yra tik autorių ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijos centro požiūrį ir nuomonę. Nei Europos Sąjunga, nei Europos kibernetinio saugumo kompetencijos centras negali būti laikomi atsakingais už jas.