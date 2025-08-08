Кибергруппировка Paper Werewolf применяет бреши в безопасности WinRAR для организации вредоносных кампаний. К такому заключению пришла представители платформы киберразведки, специализирующейся на сборе и анализе данных об угрозах для российских компаний, о чем сообщает РБК со ссылкой на полученную информацию. WinRAR, являющийся одним из наиболее распространенных архиваторов в России, установлен приблизительно на 80% корпоративных компьютеров под управлением Windows.
Злоумышленники из Paper Werewolf осуществили в июле — начале августа 2025 года серию атак на организации в России и Узбекистане. Атакующие распространяли фишинговые сообщения с RAR-архивами, содержащими зловредные программы, и использовали две уязвимости в WinRAR для скрытой инсталляции этого вредоносного кода на целевые устройства.
Шпионские группы, ориентированные на сбор информации, постоянно совершенствуют тактику и инструментарий, пополняя арсенал новыми эксплойтами. Применение RAR-архивов преследовало двойную цель: не только эксплуатация уязвимостей в WinRAR для внедрения вредоносного ПО, но и повышение вероятности обхода почтовых фильтров, поскольку подобные вложения — обыденный элемент деловой переписки, пояснил руководитель платформы киберразведки, специализирующейся на сборе и анализе данных об угрозах для российских компаний.
Одной из жертв Paper Werewolf стал российский производитель специализированного оборудования. Используя взломанный электронный ящик, злоумышленники отправили фишинговое письмо, маскирующееся под «документы из министерства» и содержащее модифицированный XPS Viewer, который обеспечивал удаленный контроль над скомпрометированным устройством.
Изначально Paper Werewolf задействовала уязвимость CVE-2025−6218 в WinRAR 7.11, а затем переключилась на эксплуатацию новой бреши, затрагивающей ту же версию архиватора. Незадолго до этого на закрытом хакерском ресурсе появился эксплоит для данной уязвимости, предложенный к продаже за $80 тыс.
WinRAR — один из лидирующих архиваторов в России, его используют 79% отечественных компаний на рабочих станциях с Windows. Спрос подтверждается высоким объемом ежемесячных продаж лицензий — около 10 000. Однако широкая распространенность делает программу привлекательной мишенью для кибершпионажа, на долю которого, согласно данным Bi.zone Threat Intelligence, приходится 36% всех зафиксированных с начала 2025 года в России атак, направленных на получение конфиденциальной информации.
