🚀 Не просто читай — прокачивайся! Зарегистрируйся в Kraken Academy и учись на практике: стенды, модули и путь к реальным скиллам.

Нулевая уязвимость CVE-2025-8088 активно эксплуатируется

История повторяется: архиватор WinRAR вновь стал оружием в руках киберпреступников. На этот раз — критическая уязвимость CVE-2025-8088 (CVSS 8.8), позволяющая выполнить произвольный код через специально созданные архивы. И да, злоумышленникам снова достаточно лишь уговорить жертву распаковать «правильный» файл.

Что за проблема?

Речь идёт о path traversal — ситуации, когда при распаковке файла WinRAR использует путь, прописанный внутри архива, а не тот, что указал пользователь. В результате вредонос может оказаться в любом месте системы, включая чувствительные директории вроде Windows Startup, что гарантирует его запуск при следующей загрузке.

Проблема затрагивает:

  • WinRAR до версии 7.12

  • RAR для Windows

  • UnRAR, UnRAR.dll

  • Портативный UnRAR для Windows

Патч выпущен 31 июля 2025 в версии 7.13.

Как эксплуатируют?

По данным ESET и BI.ZONE, атаки вели как минимум две группы:

  • Paper Werewolf (GOFFEE) — вероятно, купившие эксплойт на тёмных форумах за $80,000.

  • RomCom — опытный игрок, ранее использовавший другие zero-day в целевых атаках.

Сценарий атаки:

  1. Жертве отправляют архив с резюме или документом-приманкой.

  2. Архив содержит основной файл и скрытые alternate data streams (ADSes) с полезной нагрузкой.

  3. При открытии запускается DLL, которая ставит LNK-файл в автозагрузку и разворачивает обратную оболочку (reverse shell).

  4. Дополнительно загружаются бэкдоры — Mythic agent, SnipBot, RustyClaw, а через них и прочие «угощения» вроде ShadyHammock.

Кого атаковали?

RomCom нацеливался на финансовый, производственный, оборонный и логистический сектора в Европе и Канаде.
Paper Werewolf — на российские организации, в основном через фишинговые письма.

Хацкерский «сайдквест»

Любопытно, что незадолго до атак на форуме Exploit.in продавался «нулевой» эксплойт под WinRAR за $80,000. И хотя прямых доказательств покупки именно этими группами нет, совпадения выглядят как плохая шутка: объявление в июле — массовые атаки в том же месяце.

Не только WinRAR

В тот же период 7-Zip тоже пришлось затыкать дыру (CVE-2025-55188, CVSS 2.7), связанную с символическими ссылками при распаковке. Уязвимость менее критична, но при определённых условиях способна привести к перезаписи важных файлов вроде SSH-ключей.

Что делать прямо сейчас

  • Обновить WinRAR до версии 7.13 или новее.

  • Не открывать архивы из подозрительных писем (особенно с заманчивыми названиями вроде «resume.pdf.rar»).

  • Включить мониторинг автозагрузки и проверять подозрительные DLL.

Немного иронии напоследок

Кажется, WinRAR стал своеобразным «вечным» хитом для APT-групп — как в мире музыки есть песни, которые перепевают снова и снова. Только здесь ремиксы — это новые уязвимости, а слушатели — ваши серверы.

Берегите себя и купите лицензию.

📘 Понравилась статья?

Больше практики и реальных заданий — в Kraken Academy.
А чтобы точно ничего не пропустить — подпишись на наш Telegram-канал.

Зарегистрироваться Подписаться в Telegram
← Назад к статьям

Рекомендуемые статьи

Обложка

Хакеры снова ломают Linux и macOS

Читать полностью →
Обложка

LunaSpy

Читать полностью →
Обложка

Российская группа EncryptHub

Читать полностью →