В промежуток времени с июля по начало августа 2025 года шпионская кибергруппа Paper Werewolf атаковала ряд организаций в России и Узбекистане. К фишинговым сообщениям прилагались RAR-архивы с вредоносным программным обеспечением, которые выдавались за важные документы.

Злоумышленники использовали две уязвимости в WinRAR, которые позволяли устанавливать вредоносное ПО на устройство жертвы незаметно при распаковке архива. Этот архиватор применяется почти 80% российских компаний и фактически всеми сотрудниками, чьи корпоративные устройства функционируют на Windows.
«Группировки, ориентированные на шпионаж, продолжают испытывать новые методы и инструменты, в том числе обогащают свой арсенал свежими уязвимостями. При использовании RAR-архивов атакующие стремились добиться сразу двух целей: не только воспользоваться уязвимостями в WinRAR для внедрения вредоносного ПО, но и увеличить вероятность того, что фишинговое письмо пройдет через фильтры электронной почты, ведь такие вложения в деловой переписке считаются обычными», – сообщил IT Speaker Олег Скулкин, руководитель BI.ZONE Threat Intelligence.
Одной из целей Paper Werewolf стал российский производитель специального оборудования. Хакеры направили письмо от имени крупного научно-исследовательского института, используя взломанный адрес электронной почты другой реальной компании – производителя мебели. В приложении к письму находился RAR-архив с «документами из министерства» и исполняемым файлом XPS Viewer. Эта программа является легитимной, однако атакующие модифицировали ее исполняемый файл, добавив вредоносный код. С помощью этого хакеры могли удаленно выполнять команды и контролировать скомпрометированное устройство.
Для атаки на производителя оборудования Paper Werewolf использовала уязвимость CVE-2025-6218, которая затрагивает версии WinRAR до 7.11 включительно. В более поздних атаках нацеленных на компании из России и Узбекистана, злоумышленники применили новую, на тот момент не задокументированную уязвимость нулевого дня, которая также затрагивает версию WinRAR 7.12.
Ранее специалисты компании Positive Technologies выявили значительную уязвимость в компоненте Remote Access Connection Manager, который отвечает за установку VPN-соединений в операционных системах Microsoft. Эта проблема затрагивает 37 продуктов корпорации, включая актуальные версии Windows 10, 11, а также серверные платформы Windows Server 2022 и 2025.
Google разработал ИИ-искателя багов

