ESET’ten yeni yayınlanan araştırmalara göre, Winrar’da (CVE-2025-8088) yeni bir sıfır günlük güvenlik açığı Rusya’ya uyumlu hack grubu Romcom tarafından vahşi doğada sömürülüyor. Küresel işletmeleri sessizce hedefleyen kusur, grubun artan sofistike olmasını ve mızrak avı kampanyalarında artan tedarik zinciri tarzı istismar kullanımını göstermektedir.
Güvenlik açığı nedir?
İlk olarak ESET araştırmacıları tarafından 18 Temmuz’da bildirilen güvenlik açığı, görünüşte iyi huylu bir RAR arşivinde kötü niyetli dosyaları gizlemek için Windows alternatif veri akışlarını (ADSE’ler) kaldıran bir yol geçişli bir yoldur. Kullanıcılar zararsız bir iş başvurusu veya belgesi gibi görünen şeyi çıkardıklarında, kötü niyetli yük sessizce konuşlandırılır – yakından incelenmedikçe şüphe uyandırmadan.
Winrar günler içinde güvenlik açığını yamaladı – ilk önce bir beta düzeltmesi yayınladı ve 30 Temmuz’a kadar tam bir güncelleme yayınladı.
Romcom’un sömürü oyun kitabı
Etkilenen yıllar süren APT grubu ROMCOM (Fırtına-0978, UNC2596 veya Tropikal Scorpius olarak da izlenir), son yıllarda üçüncü büyük sıfır gününü kullandı ve CVE-2023-36884 (Microsoft Word aracılığıyla) ve Firefox-Windows Zero-chake-Windows Zero-Clip-Windows Zero-Clip-Wridows’tan daha önce kötüye kullanıldı. CVE-2024-49039).
Bu kampanya hedeflendi FAvrupa ve Kanada’daki Insalcial, İmalat, Savunma ve Lojistik Firmaları – Romcom’un bilinen zeka ve jeopolitik hedeflerle tutarlı endüstriler.
Güvenlik ekipleri, kötü niyetli arşivin, bir DLL’yi bırakmak için iç içe yollara sahip reklam girişleri içerdiğini belirtmelidir. %TEMP% Ve bir .LNK Windows Startup klasörüne dosyalayın – bir com kaçırma yoluyla kalıcılığı başarmak.
Neden Önemlidir
Winrar her yerde bulunur. Yaygınlığı bu istismar özellikle tehlikeli hale getirir – çok kötü arşivler geniş ve geniş yayılabilir ve şüpheli olmayan kullanıcılar tarafından yürütülebilir.
-
Saldırı Verimliliği: Akla yatkın özgeçmişlerle hedeflenen mızrak aktı, özellikle cazibe işe alım veya işe alım ile hizalandığında tıklama oranlarını artırır.
-
Gizli teslimat: ADS Kullanım Etekler Günlük Tespit; UI’deki aldatmacalar (Winrar kaydırılmadıkça derin dosya yollarını gizler) riski artırır.
-
Becerikli opsec: Winrar tarafından hızlı yama ve ESET ile hızlı keşif, her iki tarafta yüksek teknik özellik.
Bu faktörler birlikte Romcom’un kampanyasını oldukça güçlü hale getiriyor.
Hemen çıkarımlar ve hafifletmeler
-
Winrar’ı hemen güncelle: Winrar’ın tüm kullanıcıları,
UnRAR.dllkomut satırı araçları ve kaynak kodu ≥ 7.13 sürümlerine yükseltilmelidir. -
Arşiv Ekstraksiyon Davranışını İzleyin: Arşiv çıkarma işlemlerinin etrafında davranışsal kontrolleri veya kum havuzunu dağıtın.
-
İşle ilgili ekleri inceleyin: İK ve işe alım süreçleri giderek daha fazla silahlanıyor. İstenmeyen başvuru belgeleri için ek tarama ve bant dışı doğrulama uygulayın.
-
Zekayı paylaş: Romcom’un önemi ve sıfır gün kullanımı, CISO ve tehdit-intel topluluklarında ortak bir kırmızı bayrak olmalıdır.
Romcom’un artan sıfır gün stratejisi
Bu kampanya, Romcom’un sıfır günleri operasyonel arketipinin temel bir parçası haline getirdiğini doğrulamaktadır-siber suç ve casusluk taktiklerini hassas bir şekilde dolduruyor. Winrar’ın gizli dağıtım için Reklamlar özelliğini silahlandırma yetenekleri, tehdit seviyesini önemli ölçüde artırıyor.
Savunucular için, anahtar sadece yama değil, aynı zamanda ölçekte kimlik avı tespit etmek, sıkıştırılmış içeriği dinamik olarak taramak ve kullanıcıları gizli yük riskleri hakkında eğitmek.
Romcom’un son hamlesi, günlük kamu hizmetlerinin bile ülkeye bağlı casusluk için gizli vektörler olabileceğini gösteriyor. Görünmez istismarları yakalama yarışı – ve arkasındaki gruplar – hızla artıyor.