WinRAR je zakrpio CVE-2025-8088, zero-day ranjivost koju je ruska grupa RomCom iskoristila u napadima na finansijske, odbrambene, proizvodne i logističke kompanije.
Ruska hakerska grupa primijećena je kako koristi zero-day ranjivost u WinRAR-u u sklopu sajber špijunske kampanje usmjerene na organizacije u Evropi i Kanadi.
Ranjivost je označena kao CVE-2025-8088 i opisana je kao greška u putanji (path traversal) koja uključuje korišćenje alternativnih tokova podataka. Ona omogućava napadaču da kreira posebno pripremljene arhive koje navode WinRAR da ekstrahuje fajlove na putanju koju definiše napadač, a ne onu koju odredi korisnik.
Kompanija za sajber bezbjednost ESET otkrila je napade i prijavila ranjivost programerima WinRAR-a. Propust je zakrpljen ažuriranjem objavljenim 30. jula — beta verzija sa ispravkom bila je dostupna 25. jula, samo dan nakon što je ESET poslao obavještenje.
Prema ESET-u, napade koji uključuju CVE-2025-8088 izvela je hakerska grupa povezana sa Rusijom, poznata kao RomCom (poznata i pod imenima Storm-0978, Tropical Scorpius i UNC2596).
RomCom je poznat po izvođenju i sajberšpijunskih i oportunističkih sajberkriminalnih operacija. Ovo nije prvi put da hakeri iskorišćavaju zero-day ranjivosti u napadima usmjerenim na mete u Evropi i Sjevernoj Americi.
U napadima koji su koristili WinRAR zero-day ranjivost, a koje je ESET prvi put zabilježio 18. jula, hakeri su koristili spearphishing mejlove kako bi poslali maliciozne arhive prerušene u biografije ciljanima. Mejlove su slali veoma ciljano, što ukazuje na to da su napadači prethodno sproveli izviđanje kako bi povećali šanse za uspjeh.
Napadi su bili usmjereni na finansijske, odbrambene, proizvodne i logističke kompanije u Kanadi i Evropi.
Kompanija za sajber bezbjednost navodi da nijedna od meta nije kompromitovana. Da je napad bio uspješan, posebno pripremljene arhive bi instalirale različite backdoor alate, uključujući one pod nazivima SnipBot, RustyClaw i Mythic Agent.
ESET je naglasio da je CVE-2025-8088 sličan CVE-2025-6218, još jednoj ranjivosti u putanji koja je nedavno zakrpljena u WinRAR-u.
Prema ruskoj kompaniji za sajber bezbjednost Bi.zone, i CVE-2025-6218 i CVE-2025-8088 su nedavno iskoristili hakeri koje oni prate pod nazivom Paper Werewolf, a koji su ciljali organizacije u Rusiji, uključujući i proizvođača opreme.
Izvor: SecurityWeek
