Експерти з кібербезпеки компанії ESET виявили критичну загрозу для мільйонів користувачів популярного архіватора WinRAR. Уразливість CVE-2025-8088 активно експлуатувалася кіберзлочинцями ще до випуску офіційного патча, створюючи серйозні ризики для корпоративної та персональної інформаційної безпеки.
Детальний аналіз уразливості CVE-2025-8088
Виявлена проблема належить до категорії directory traversal вразливостей, що дозволяє зловмисникам маніпулювати шляхами розпакування файлів. Атакуючі можуть обійти користувацькі налаштування безпеки та розміщувати шкідливі виконувані файли в критичних системних каталогах операційної системи.
Згідно з офіційним повідомленням розробників, уразливість вплинула на широкий спектр продуктів екосистеми WinRAR, включаючи попередні версії архіватора для Windows, RAR, UnRAR, портативний вихідний код UnRAR та бібліотеку UnRAR.dll. Важливо зазначити, що Unix-версії продуктів та RAR для Android виявилися стійкими до цієї атаки.
Механізм експлуатації через автозапуск Windows
Найбільшу небезпеку представляє здатність кіберзлочинців розміщувати malware безпосередньо в папці автозапуску Windows. Цей підхід забезпечує автоматичне виконання шкідливого коду при наступному вході користувача в систему, гарантуючи зловмисникам віддалений доступ до скомпрометованого пристрою.
Така тактика демонструє високий рівень складності атаки, оскільки не потребує додаткової взаємодії з користувачем після початкового відкриття зараженого архіву.
Профіль загрози: хакерська група RomCom
Основним актором експлуатації CVE-2025-8088 стала організована кіберзлочинна група RomCom, відома також під альтернативними назвами Storm-0978, Tropical Scorpius та UNC2596. Ця група спеціалізується на цільових атаках проти корпоративного сектора, використовуючи передові техніки та власне розроблене шкідливе програмне забезпечення.
У рамках останньої кампанії зловмисники поширювали декілька типів malware, включаючи модифікації SnipBot, RustyClaw та Mythic. Основними цілями атак стали фінансові установи, виробничі підприємства, оборонні компанії та логістичні організації в Канаді та європейських країнах.
Історія активності групи RomCom
RomCom має extensive досвід у сфері кіберзлочинів, включаючи ransomware-атаки, викрадення корпоративних даних для отримання викупу та масштабні кампанії компрометації облікових записів. Відмінною особливістю групи є систематичне використання zero-day уразливостей та розробка власних шкідливих програм.
Паралельні атаки інших акторів
Дослідження ESET виявило, що CVE-2025-8088 незалежно експлуатувалася іншими кіберзлочинцями. Російська компанія BI.ZONE зафіксувала альтернативні атаки з використанням тієї ж уразливості, причому друга хвиля атак розпочалася через декілька днів після активності RomCom.
Ефективні стратегії захисту та мітигації
Першочерговим завданням є негайне оновлення WinRAR до версії 7.13 або новішої, випущеної наприкінці липня. Організаціям рекомендується впровадити додаткові захисні заходи, включаючи постійний моніторинг папки автозапуску та застосування політик обмеження виконання файлів з тимчасових директорій.
Цей інцидент підкреслює критичну важливість своєчасного patch management та необхідність багаторівневого підходу до захисту корпоративної інфраструктури. Використання zero-day експлойтів організованими групами демонструє еволюцію кіберзагроз і вимагає від фахівців з інформаційної безпеки постійної пильності та готовності до швидкого реагування на нові вектори атак.
