Paper Werewolf использовала дыры в WinRAR для атак на компании в России

Екатерина Быстрова 08 Августа 2025 - 11:12

Малый и средний бизнес

Таргетированные атаки

...

Paper Werewolf использовала дыры в WinRAR для атак на компании в России

Почти 80% российских компаний пользуются WinRAR — и именно через него в июле и начале августа прошли атаки шпионской кибергруппировки Paper Werewolf. Злоумышленники рассылали фишинговые письма с RAR-архивами — якобы с важными документами, но на деле внутри была вредоносная программа. При распаковке архива вирус незаметно устанавливался на компьютер.

Как объясняет Олег Скулкин, руководитель направления Threat Intelligence в BI.ZONE, такие группировки постоянно ищут новые уязвимости и методы проникновения.

В этом случае архивы решали сразу две задачи: обходили почтовые фильтры (вложение выглядит как обычный документ) и позволяли установить вредоносный код через уязвимости в WinRAR.

Одной из целей Paper Werewolf стал российский производитель спецоборудования. Письмо выглядело официально: отправитель — крупный научно-исследовательский институт, а письмо пришло с адреса реальной мебельной компании, которую предварительно взломали. Внутри архива — «документы от министерства» и XPS Viewer. Эта программа сама по себе легитимная, но её исполняемый файл был подменён — в него внедрили вредоносный код, который давал злоумышленникам удалённый доступ к заражённому устройству.

Для атаки использовали уязвимость CVE-2025-6218, которая затрагивает версии WinRAR до 7.11 включительно. В последующих атаках применили уже уязвимость нулевого дня — пока не описанную официально. Она затрагивает и более новую версию WinRAR 7.12. Интересно, что незадолго до этого на теневом форуме появилось объявление о продаже рабочего эксплойта, предположительно именно для этой уязвимости. Продавец хотел за него $80 000.

Согласно данным BI.ZONE TDR, WinRAR установлен почти на всех корпоративных Windows-устройствах в России. Архиватор по-прежнему крайне популярен: каждый месяц продаётся около 10 000 лицензий.

BI.ZONE также отмечает, что с начала 2025 года 36% всех кибератак на российские организации были связаны с промышленным шпионажем. Paper Werewolf — одна из тех групп, кто активно этим занимается.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 12 Февраля 2026 - 11:22

Утечки информации Умышленные утечки информации Кража данных Общее

В Сеть выложили базу с 6,8 млрд адресов электронной почты

На одном из популярных форумов для киберпреступников появился интересный пост: пользователь под ником Adkka72424 заявил, что собрал базу из 6,8 млрд уникальных адресов электронной почты. По его словам, на это ушло несколько месяцев; он выгружал данные из логов инфостилеров, ULP-коллекций и различных баз, циркулирующих в Сети.

Цифра звучит почти фантастически. Однако исследователи Cybernews изучили массив объёмом около 150 ГБ и пришли к несколько иным выводам.

Формально автор не соврал: в файле действительно более 6,8 млрд строк. Но внутри оказалось множество дубликатов и откровенно невалидных адресов. После «очистки» реальное количество рабочих имейлов, по оценке экспертов, может составлять около 3 млрд.

Даже если это «всего лишь» 3 млрд, масштаб всё равно впечатляющий. В эпоху автоматизации фишинговых кампаний и атак вида «credential stuffing» объём решает многое. При конверсии всего 0,001% из трёх миллиардов злоумышленники теоретически могут получить около 30 тысяч потенциальных жертв. Для массовых рассылок этого более чем достаточно.

Сам автор публикации утверждает, что хотел «повысить осведомлённость» и привлечь внимание эксперта по утечкам Троя Ханта. Параллельно он дал традиционный совет пользователям: сменить пароли и включить двухфакторную аутентификацию. Впрочем, по комментариям на форуме видно, что аудитория интересуется базой прежде всего как инструментом для кросс-проверки других утечек: сопоставляя записи, злоумышленники могут быстрее находить «свежие» скомпрометированные аккаунты и экономить время.