Главная

  1. Страницы
  2. Главная
Обложка статьи

WinRAR снова рвёт архивы

Новости · 11.12.2025
🚀 Не просто читай — прокачивайся! Зарегистрируйся в Kraken Academy и учись на практике: стенды, модули и реальные скиллы.

CVE-2025-6218 уходит в боевое поле, APT-шники празднуют

WinRAR снова попал под обстрел: свежая уязвимость CVE-2025-6218 оказалась настолько удобной для тёмных делишек, что сразу несколько угрожающих коллективов решили взять её в производство. CISA уже закинула баг в свой KEV-каталог, что на языке секьюрити значит примерно одно: атака идёт прямо сейчас, без тренировок и предупреждений.

CVE-2025-6218 представляет собой классический path traversal, но с таким приправленным вкусом, что позволяет аккуратно подсунуть системе файлы куда угодно — хоть в Startup, хоть в другое место, где Windows выполняет всё, что найдет. Сам WinRAR, конечно, не виноват — просто доверчив. А вот жертве достаточно открыть криво собранный архив или залететь на правильную вредоносную страницу — и всё, фейерверк начался.

RARLAB честно закрыли дыру в версии 7.12 ещё летом 2025-го, но кто же обновляется вовремя? В итоге Windows-билды до сих пор массово ходят по минному полю. Unix и Android-версии, как всегда, жали плечами и продолжили жить своей жизнью.

И вот тут на сцену выходят новые звёзды. По данным BI.ZONE, Foresiet и других исследователей, баг стал любимцем целой триады групп: GOFFEE (он же Paper Werewolf), Bitter (APT-C-08), а также вечных гостей восточного фронта — Gamaredon. Первые активно комбинировали CVE-2025-6218 с другой дыркой WinRAR — CVE-2025-8088 — и рассылали таргетированные фишинговые архивы по российским компаниям. Работает старый рецепт: отправить архив, вложить туда добрый Word + злой шаблон, подтолкнуть пользователя открыть и дальше тихо заменить Normal.dotm, чтобы его Word стал частью ботнета добра и света.

Ничего личного — просто скрытый макрос с постоянной регистрацией на запуск и автоматическим открытием двери для C#-трояна, способного шпионить, делать скриншоты, воровать RDP-доступы и выкачивать файлы на C2 "johnfashionaccess[.]com". Настоящая fashion-коллекция для любителей стиля APT.

Но это ещё даже не финал. Gamaredon тоже пошёл по той же ноздре, но с другой целью: старый добрый Pteranodon снова вылетел на охоту по украинским ведомствам. И если раньше Gamaredon славились скорее шумной, но в целом разведывательной работой, то теперь они внезапно включили режим разрушения и даже выкатили свежий вайпер GamaWiper, впервые отметив переход от шпионажа к настоящему саботажу.

Все эти акты творчества выглядят не как "случайные массовые атаки", а как выверенные военные операции, где каждая RARка — маленькая бомба замедленного действия. Специалисты подчёркивают: это не форточники-одиночки, а чётко управляемые команды, работающие на государственные структуры.

По итогам всей этой анархии ФСЕB-агентствам США приказано срочно закрыть дыру до 30 декабря 2025 года. С учётом того, как редко госучреждения обновляют софт, это звучит почти как вызов судьбе.

Если коротко: WinRAR снова стал точкой входа в ад, APT-группы получили новую игрушку, а пользователи — очередной повод обновить софт, который все привыкли считать бессмертным.

📘 Понравилась статья?
Больше практики — в Kraken Academy.
Подписывайся на наш Telegram-канал.
Рекомендуемые статьи
Обложка

Взлом ИИ: как модели ошибаются?

Читать полностью →
Обложка

История Романа Звездопадова — студента Kraken Academy

Читать полностью →
Обложка

Китайские APT снова в деле

Читать полностью →