Исследователи компании ESET выявили активную эксплуатацию критической уязвимости в популярном архиваторе WinRAR, которая использовалась злоумышленниками до выхода официального патча. Уязвимость CVE-2025-8088 позволяла хакерам обходить защитные механизмы системы и устанавливать вредоносное ПО через специально подготовленные архивы.
Техническая природа уязвимости CVE-2025-8088
Обнаруженная проблема безопасности относится к классу directory traversal уязвимостей и затрагивала несколько компонентов экосистемы WinRAR. Дефект позволял злоумышленникам манипулировать путями извлечения файлов из архивов, игнорируя пользовательские настройки и размещая исполняемые файлы в критически важных системных директориях.
Согласно официальному заявлению разработчиков, уязвимость затрагивала предыдущие версии WinRAR, Windows-версии RAR, UnRAR, портативный исходный код UnRAR и библиотеку UnRAR.dll. Примечательно, что Unix-версии продуктов и RAR для Android оказались невосприимчивы к данной атаке.
Механизм атаки через автозагрузку Windows
Особую опасность представляет способность злоумышленников размещать вредоносные исполняемые файлы непосредственно в папку автозагрузки Windows. При следующем входе пользователя в систему такие файлы запускаются автоматически, обеспечивая хакерам удаленное выполнение кода на скомпрометированном устройстве.
Данный метод атаки демонстрирует высокий уровень sophistication злоумышленников, поскольку не требует дополнительного взаимодействия с пользователем после первичного открытия архива.
Группировка RomCom: профиль угрозы
Основным актором, эксплуатирующим CVE-2025-8088, стала хакерская группировка RomCom, также известная под псевдонимами Storm-0978, Tropical Scorpius и UNC2596. Эта организованная киберпреступная группа специализируется на целевых атаках против корпоративного сектора.
В рамках недавней кампании злоумышленники распространяли несколько типов вредоносного ПО, включая модификации SnipBot, RustyClaw и Mythic. Основными целями атак стали финансовые, производственные, оборонные и логистические компании в Канаде и европейских странах.
История деятельности RomCom
Группировка RomCom имеет богатую историю киберпреступной деятельности, включающую вымогательские атаки, кражу корпоративных данных для получения выкупов и масштабные кампании по компрометации учетных записей. Особенностью группы является систематическое использование 0-day уязвимостей и разработка собственного вредоносного ПО.
Параллельная эксплуатация уязвимости
Исследование ESET также выявило, что CVE-2025-8088 независимо эксплуатировалась другими злоумышленниками. Российская компания BI.ZONE обнаружила альтернативные атаки, использующие ту же уязвимость, причем вторая волна атак началась через несколько дней после активности RomCom.
Рекомендации по защите
Критически важно немедленно обновить WinRAR до версии 7.13 или более поздней, выпущенной в конце июля. Организациям рекомендуется также внедрить дополнительные меры защиты, включая мониторинг папки автозагрузки и применение политик ограничения выполнения файлов из временных директорий.
Данный инцидент подчеркивает важность своевременного обновления программного обеспечения и необходимость многоуровневой защиты корпоративной инфраструктуры. Использование 0-day эксплойтов организованными группировками демонстрирует эволюцию киберугроз и требует от специалистов по информационной безопасности постоянной бдительности и готовности к быстрому реагированию на новые векторы атак.
