Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Группировка Paper Werewolf использует для атак уязвимости в WinRAR (http://txgate.io:443/showthread.php?t=51302488)

Artifact 08-08-2025 07:05 PM
<div id="post_message_808141">

В июле и начале августа 2025 года шпионская хак-группа Paper Werewolf атаковала несколько организаций из России и Узбекистана. К фишинговым письмам были приложены RAR‑архивы якобы с важными документами, а на самом деле — с малварью. Злоумышленники воспользовались двумя уязвимостями в WinRAR, которые позволяют установить вредоносное ПО при распаковке архива.<br/>
<br/>
Как сообщают аналитики компании <a href="https://bi.zone/news/kibershpiony-paper-werewolf-ispolzuyut-dlya-atak-uyazvimosti-v-winrar/" target="_blank">BI.ZONE</a>, одной из целей группировки был российский производитель спецоборудования. Атакующие отправили цели письмо от лица крупного научно-исследовательского института, причем воспользовались для этого скомпрометированным почтовым адресом другой реально существующей компании — производителя мебели.<br/>
<br/>
В приложенном к письму RAR‑архиве содержались фальшивые «документы из министерства», а также исполняемый файл XPS Viewer. Это легитимная программа, но атакующие модифицировали ее исполняемый файл, добавив внутрь вредоносный код. Он давал им возможность удаленно выполнять команды и управлять скомпрометированным устройством.<br/>
<br/>
Исследователи отмечают, что WinRAR пользуются почти 80% российских компаний и практически все сотрудники, чьи корпоративные устройства работают под управлением Windows.<br/>
<br/>
Для атаки на упомянутого производителя оборудования Paper Werewolf воспользовалась уязвимостью <a href="https://xakep.ru/2025/06/26/winrar-directory-traversal/" target="_blank">CVE‑2025‑6218</a>, которая затрагивает версии WinRAR до 7.11 включительно. В более поздних атаках, нацеленных на компании из России и Узбекистана, злоумышленники сделали ставку на новую, не описанную на тот момент уязвимость нулевого дня, которая затрагивает также версию WinRAR 7.12.<br/>
<br/>
При этом незадолго до этих атак на одном из хак-форумов появилось объявление о продаже якобы рабочего эксплоита, предположительно, для этой уязвимости. Продавец запрашивал за него 80 000 долларов.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Ориентированные на шпионаж группировки продолжают экспериментировать с методами и инструментами, в том числе пополняют свой арсенал новыми уязвимостями. Используя RAR‑архивы, атакующие преследовали сразу две цели: не только эксплуатировали уязвимости в WinRAR для установки ВПО, но и увеличивали шансы на то, что фишинговое письмо преодолеет фильтры в электронной почте, ведь такие вложения в деловой переписке — обычное дело», — комментирует Олег Скулкин, руководитель BI.ZONE Threat Intelligence.</font>
</td>
</tr>
</table>
</div><a href="https://xakep.ru/2025/08/08/paper-werewolf-winrar" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 09:23 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.