80 тысяч за ключ к любой компании: Paper Werewolf взламывают Россию через WinRAR
NewsMakerАрхиватор установлен почти на всех корпоративных ПК с Windows.
В июле — начале августа 2025 года кибершпионская группировка Paper Werewolf провела серию атак на организации в России и Узбекистане. Для заражения систем использовались фишинговые письма с вложенными RAR-архивами, замаскированными под важные документы. На самом деле в них находилось вредоносное ПО, которое устанавливалось при распаковке благодаря эксплуатации уязвимостей в WinRAR.
Атакующие применили два разных эксплойта. В первой волне был задействован CVE-2025-6218, влияющий на версии WinRAR до 7.11 включительно. В последующих атаках использовалась новая уязвимость нулевого дня, затрагивающая и версию 7.12. На момент атак она не была задокументирована, а незадолго до этого на теневом форуме появилось объявление о продаже эксплоита за 80 тыс. долларов.
Как отмечают в BI.ZONE, шпионские группировки продолжают активно тестировать новые техники и уязвимости. В данном случае RAR-архивы позволяли не только установить ВПО, но и повышали шансы на прохождение почтовых фильтров, поскольку такие вложения часто встречаются в деловой переписке.
Одной из целей Paper Werewolf стал российский производитель спецоборудования. Злоумышленники отправили письмо от имени крупного НИИ, используя скомпрометированный почтовый адрес реально существующей мебельной компании. В архиве находились «документы из министерства» и модифицированный исполняемый файл XPS Viewer — легитимной программы, в которую был внедрён вредоносный код. Он обеспечивал удалённое выполнение команд и полный контроль над устройством жертвы.
Позднее та же тактика была применена против компаний из России и Узбекистана, но уже с использованием уязвимости нулевого дня. Это позволяло обходить обновления WinRAR, установленные после закрытия CVE-2025-6218.
По данным BI.ZONE, WinRAR используется в рабочих процессах 79% российских компаний, а почти на всех корпоративных ПК с Windows установлен этот архиватор. Представители WinRAR ранее сообщали, что ежемесячно продают около 10 тыс. лицензий, что делает программу одной из самых распространённых как в быту, так и в бизнесе.
В июле — начале августа 2025 года кибершпионская группировка Paper Werewolf провела серию атак на организации в России и Узбекистане. Для заражения систем использовались фишинговые письма с вложенными RAR-архивами, замаскированными под важные документы. На самом деле в них находилось вредоносное ПО, которое устанавливалось при распаковке благодаря эксплуатации уязвимостей в WinRAR.
Атакующие применили два разных эксплойта. В первой волне был задействован CVE-2025-6218, влияющий на версии WinRAR до 7.11 включительно. В последующих атаках использовалась новая уязвимость нулевого дня, затрагивающая и версию 7.12. На момент атак она не была задокументирована, а незадолго до этого на теневом форуме появилось объявление о продаже эксплоита за 80 тыс. долларов.
Как отмечают в BI.ZONE, шпионские группировки продолжают активно тестировать новые техники и уязвимости. В данном случае RAR-архивы позволяли не только установить ВПО, но и повышали шансы на прохождение почтовых фильтров, поскольку такие вложения часто встречаются в деловой переписке.
Одной из целей Paper Werewolf стал российский производитель спецоборудования. Злоумышленники отправили письмо от имени крупного НИИ, используя скомпрометированный почтовый адрес реально существующей мебельной компании. В архиве находились «документы из министерства» и модифицированный исполняемый файл XPS Viewer — легитимной программы, в которую был внедрён вредоносный код. Он обеспечивал удалённое выполнение команд и полный контроль над устройством жертвы.
Позднее та же тактика была применена против компаний из России и Узбекистана, но уже с использованием уязвимости нулевого дня. Это позволяло обходить обновления WinRAR, установленные после закрытия CVE-2025-6218.
По данным BI.ZONE, WinRAR используется в рабочих процессах 79% российских компаний, а почти на всех корпоративных ПК с Windows установлен этот архиватор. Представители WinRAR ранее сообщали, что ежемесячно продают около 10 тыс. лицензий, что делает программу одной из самых распространённых как в быту, так и в бизнесе.