Tehdit oyuncusu Grubu Kağıt Kurtadamıyla ilişkili siber casuslar, iş yazışmalarındaki bu tür eklerin ortaklığından yararlanan bir taktik olan görünüşte meşru arşiv dosyaları aracılığıyla kötü amaçlı yazılım sunarak e -posta güvenlik filtrelerini atlamada gelişmiş yetenekler göstermiştir.
Sofistike olmalarına rağmen, bu saldırganlar tespit edilebilir taktiklere, tekniklere ve prosedürlere (TTP’ler) güvenmeye devam ediyor ve kurumsal ortamlarda sürekli 7/24 olay izlemeye yönelik kritik ihtiyacın altını çiziyorlar.
Kimlik avı kampanyaları arşiv istismarlarından yararlanıyor
2025 Temmuz ayı başlarında, Bi.zone Tehdit İstihbaratı, düşmanların bir Rus Ar -Ge Enstitüsü taklit ettiği ve tehlikeye atılan bir mobilya tedarikçisi hesabından e -posta gönderdiği bir kimlik avı kampanyası ortaya çıkardı.
Bu e-postalar, dizin geçişini sağlayan bilinen bir Winrar güvenlik açığı olan CVE-2025-6218’den yararlanan Minprom_04072025.rar adlı bir RAR arşivini içeriyordu.
Bu kusur, kötü amaçlı dosyaların başlangıç klasörü gibi amaçlanan dizinin dışında çıkarılmasına izin verir ve kullanıcı girişinde otomatik yürütmeyi kolaylaştırır.
Ekstraksiyon üzerine arşiv, 89.110.88.155:8090 numaralı telefondan bir komut ve kontrol (C2) sunucusuna bağlanan bir ters kabuk için kabuk koduyla gömülü olan değiştirilmiş bir XPS görüntüleyici yürütülebilir dosyası olan XPSRCHVW74.exe dağıtır.
Shellcode, Winapi fonksiyon adlarını gizlemek için ROR13 karma kullanımı kullanır ve kaçırmayı geliştirir. Arşivdeki resmi yazışmaları taklit eden PDF’ler ve DOCX belgeleri de dahil olmak üzere tuzak dosyaları saldırıyı daha da gizler.
Buna dayanarak, Paper Westwolf, 7.12’ye kadar Winrar sürümlerinde 7.13’te yamalanan daha önce bilinmeyen sıfır gün güvenlik açığı ile operasyonlarını artırdı.
Bu kusur, arşiv dosyalarındaki alternatif veri akışlarından (AD’ler) yararlanarak, çıkarma veya doğrudan dosya açılış sırasında sistem dizinlerine keyfi yüklerin yazılmasına izin vererek dizin traversal saldırılarını mümkün kılar.
22 Temmuz 2025 tarihli bir saldırıda, kötü amaçlı rar dosyası запрос__инпрорг_22.07.rar dağıtım winRunapp.exe, bir C#-c#-c2 .net yükleyici.
Sıfır gün sömürüsü
Yükleyici, birden fazla örneği önlemek için bir muteks oluşturur, C2’yi URL’lere eklenen kurban detayları (ana bilgisayar adı ve kullanıcı adı) ile tekrar tekrar sorgulamak için bir döngü girer ve meşru trafikle karışmak için belirli kullanıcı ajanı dizeleri kullanır.
Başarılı ise, bir .NET Assemble’ı montaj yoluyla yükler.
31 Temmuz ve 1 Ağustos’taki sonraki saldırılar, çoklu tuzak PDF’lere ve LNK dosyasına yerleşen, Don_avia_trans_ru.rar ve Don_avia_trans_uz.rar ve Don_avia_trans_uz.rar’ı içeriyordu, benzer bir WinRunapp.exe varyantını, dosya varlık kontrolleri ve global_25773 gibi bir güncellemeli küçük değişikliklerle birlikte kullanıyor.
Rapora göre, yapılandırma verileri yaklaşık 330 saniyelik uyku aralıklarını belirleyerek kalıcı C2 iletişimini sağlıyor.
Özellikle, bir yeraltı forumu postası, potansiyel olarak bu kırılganlığa bağlı olarak 80.000 $ ‘lık bir Winrar sıfır gün istisnası sundu, bu da Kağıt Kurtadam’ın hedefli casusluk için satın almış ve uyarlanmış olabileceğini gösteriyor.
Bu olaylar, grubun ilk erişim için sıkıştırma aracı zayıflıklarından yararlanmaya odaklanarak sıfır günleri sosyal mühendislik ile birleştirmeyi vurgulamaktadır.
Kuruluşlar, yama Winrar’a öncelik vermeli, anormal arşiv ekstraksiyonlarını izlemeli ve ağ trafiğini şüpheli alanlara analiz etmelidir.
Kimlik avı e -postalarındaki gömülü izleme pikselleri gibi tespit edilebilir TTP’lere güvenmek, davranışsal analitik ve tehdit istihbarat entegrasyonu yoluyla erken tespit fırsatları sağlar.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Gösterge | Karma/detaylar |
|---|---|---|
| Dosya (CVE-2025-6218) | Minprom_04072025.rar | MD5: 9A69B948E261363463da38bdbfff828b14 SHA1: 40E647D61A00FD7240E54DBA45CE95C5D33CAE43 SHA256: FE2587DD8D9755B7B3A106B6E46519A1CE0A8191B20821D2F957326DBF912E9 |
| IP/Alan (CVE-2025-6218) | Eliteheirs[.]Org, IPS | 89.110.88.155:8090, 81.30.105.148, 213.171.4.200 |
| Dosya (sıfır gün) | Don_avia_trans_uz.rar | MD5: EABA94B5237D2625FA38BC924E5347C4 SHA1: 6C0E52B8ED746B5BEFEF1EF22226093260659A8 SHA256: D2C3FE8B9A4E0E5B7BCC087D52295AB30DC25B1410F50DE35470383528C9D844 |
| URL (sıfır gün) | Çeşitli Yollar | hxxps: // indoorvisions[.]org/ataerkil/ilerletme/yaratmak/alevlendirilmiş/sansür? Ana bilgisayar adı =[hostname]& kullanıcı adı =[username] (ve Trailtastic’te benzer[.]org) |
| Etki alanı/IP (sıfır gün) | iç mekan[.]Org, Trailtastic[.]Org, IPS | 89.110.98.26, 94.242.51.73 |
| Muteks | Çeşitli | Sfgjh824nf6sdfgsfwe6467jkgg3vvvvV3q7657fj436jh54hgfa56 Global_22576733 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!