Touchit Logo
hľadat zatvoriť
Ruská skupina RomCom zneužila zero-day zraniteľnosť v programe WinRAR, terčom sú aj európske organizácie
Zdroj: ESET
13. augusta 2025 4m čítanie

Ruská skupina RomCom zneužila zero-day zraniteľnosť v programe WinRAR, terčom sú aj európske organizácie

Redakcia TOUCHIT
Redakcia TOUCHIT

Výskumníci spoločnosti ESET objavili doteraz neznámu zraniteľnosť v programe WinRAR, ktorú zneužila skupina RomCom napojená na Rusko.

Podľa telemetrie spoločnosti ESET boli škodlivé komprimované súbory použité v spearphishingových kampaniach v období od 18. do 21. júla 2025. Zamerané boli na finančné, výrobné, obranné a logistické spoločnosti v Európe a Kanade. Cieľom útokov bola kyberšpionáž. Je to už minimálne tretíkrát, čo bola skupina RomCom pristihnutá pri zneužívaní významnej zraniteľnosti typu zero-day.

  • Výskumníci spoločnosti ESET objavili doteraz neznámu zraniteľnosť typu zero-day v programe WinRAR zneužívanú skupinou RomCom napojenou na Rusko.
  • Ak používate WinRAR alebo iné dotknuté komponenty, ako napríklad verzie jeho príkazových riadkov pre Windows, UnRAR.dll alebo prenosný zdrojový kód UnRAR, okamžite prejdite na najnovšiu verziu.
  • Analýza exploitu viedla k objaveniu zraniteľnosti, ktorej bolo pridelené označenie CVE-2025-8088: zraniteľnosť typu path traversal, umožnená použitím alternatívnych dátových tokov. Po odhalení vydal WinRAR opravenú verziu 30. júla 2025.
  • Úspešné pokusy o zneužitie viedli k nasadeniu rôznych backdoorov používaných skupinou RomCom, konkrétne variantov SnipBot, RustyClaw a Mythic agent.
  • Škodlivá kampaň sa zamerala na finančné, výrobné, obranné a logistické spoločnosti v Európe a Kanade.

„18. júla sme v RAR archíve zaznamenali škodlivú knižnicu DLL s názvom msedge.dll, ktorá obsahovala nezvyčajné cesty, ktoré upútali našu pozornosť. Po ďalšej analýze sme zistili, že útočníci využívali dovtedy neznámu zraniteľnosť ovplyvňujúcu WinRAR, vrátane vtedajšej aktuálnej verzie 7.12. 24. júla sme kontaktovali vývojára WinRAR; v ten istý deň bola zraniteľnosť opravená v beta verzii a o niekoľko dní neskôr bola vydaná plná verzia. Odporúčame používateľom WinRAR, aby si čo najskôr nainštalovali najnovšiu verziu,“ hovorí výskumník spoločnosti ESET Peter Strýček, ktorý zraniteľnosť objavil spolu s ďalším výskumníkom spoločnosti ESET Antonom Cherepanovom. Chyba CVE-2025-8088 je zraniteľnosť typu path traversal, ktorá umožňuje použitie alternatívnych dátových tokov.

Škodlivé archívy, zamaskované ako aplikačné dokumenty, zneužívali tok typu path traversal na kompromitovanie svojich cieľov. V spearphishingových e-mailoch útočníci zaslali životopisy v nádeji, že obete ich otvoria. Podľa telemetrie spoločnosti ESET neboli žiadne z cieľov kompromitované. Útočníci sa však vopred pripravili a e-maily boli vysoko cielené. Úspešné pokusy o zneužitie priniesli rôzne backdoory používané skupinou RomCom – konkrétne variant SnipBot, RustyClaw a Mythic agent.

Výskumníci spoločnosti ESET pripisujú pozorované aktivity skupine RomCom s vysokou istotou na základe zacielených oblastí, taktík, techník a postupov (TTP) a použitého malvéru. RomCom (tiež známy ako Storm-0978, Tropical Scorpius alebo UNC2596) je skupina napojená na Rusko, ktorá vedie kybernetické kampane proti vybraným odvetviam aj cielené špionážne operácie. Zameranie skupiny sa posunulo k špionážnym operáciám na zber spravodajských informácií, paralelne s jej konvenčnejšími operáciami v oblasti počítačovej kriminality. Backdoor používaný skupinou dokáže vykonávať príkazy a sťahovať ďalšie moduly do počítača obete. Nie je to prvýkrát, čo RomCom použil exploity na kompromitovanie svojich obetí. V júni 2023 skupina vykonala spearphishingovú kampaň zameranú na obranné a vládne subjekty v Európe, s návnadami súvisiacimi s Ukrajinským svetovým kongresom.

„Využitím doteraz neznámej zraniteľnosti typu zero-day v programe WinRAR skupina RomCom ukázala, že je ochotná investovať značné úsilie a zdroje do svojich kybernetických operácií. Odhalená kampaň bola zameraná na sektory, ktoré zodpovedajú typickým záujmom ruských APT skupín, čo naznačuje geopolitickú motiváciu tejto operácie,“ uzatvára Strýček.

Podrobnejšiu analýzu a technický rozbor najnovšej kampane RomCom nájdete v špeciálnom blogu na WeLiveSecurity. Sledujte ESET Research na sieťach X (niekdajší Twitter), BlueSky a Mastodone, aby ste mali vždy najnovšie informácie od výskumníkov spoločnosti ESET.

Nahlásiť chybu

Redaktor

Redakcia TOUCHIT
Redakcia TOUCHIT

Žijeme technológiami a pretvárame ich na zrozumiteľné informácie a príbehy. Sledujeme trendy, testujeme novinky a prinášame vám ich tak, aby ste sa v digitálnom svete cítili sebavedomo a bezpečne.

Podobné články

Mercusys MR25WBE: Výkonný dvojpásmový Wi-Fi 7 router pre rýchle a spoľahlivé pripojenie
18. decembra 2025 3m

Mercusys MR25WBE: Výkonný dvojpásmový Wi-Fi 7 router pre rýchle a spoľahlivé pripojenie

Redakcia TOUCHIT
Pohľadnice sú stále v kurze. Obľube sa teší najmä ich online podoba, ktorá spája inováciu s tradíciou
18. decembra 2025 2m

Pohľadnice sú stále v kurze. Obľube sa teší najmä ich online podoba, ktorá spája inováciu s tradíciou

Redakcia TOUCHIT
Vianočná hostina bez kompromisov: Musíme si za štedré sviatky naozaj priplatiť?
18. decembra 2025 4m

Vianočná hostina bez kompromisov: Musíme si za štedré sviatky naozaj priplatiť?

Redakcia TOUCHIT
Spoločnosť Liberty Global sa dohodla s O2 Slovakia na predaji spoločnosti UPC BROADBAND SLOVAKIA
18. decembra 2025 2m

Spoločnosť Liberty Global sa dohodla s O2 Slovakia na predaji spoločnosti UPC BROADBAND SLOVAKIA

Redakcia TOUCHIT
Prežite vianočné prázdniny so zlatom faraónov: Výstava Tutanchamon je otvorená aj počas sviatkov
18. decembra 2025 3m

Prežite vianočné prázdniny so zlatom faraónov: Výstava Tutanchamon je otvorená aj počas sviatkov

Redakcia TOUCHIT
Hyundai i30: Rozumná voľba, ktorú si Slováci obľúbili
17. decembra 2025 3m

Hyundai i30: Rozumná voľba, ktorú si Slováci obľúbili

Redakcia TOUCHIT
Samsung predstavuje nový prenosný SSD disk T7 Resurrected
17. decembra 2025 4m

Samsung predstavuje nový prenosný SSD disk T7 Resurrected

Redakcia TOUCHIT
TOUCHIT Rýchle správy