Paper Werewolf использовала дыры в WinRAR для атак на компании в России

Екатерина Быстрова 08 Августа 2025 - 11:12

Малый и средний бизнес

Таргетированные атаки

...

Paper Werewolf использовала дыры в WinRAR для атак на компании в России

Почти 80% российских компаний пользуются WinRAR — и именно через него в июле и начале августа прошли атаки шпионской кибергруппировки Paper Werewolf. Злоумышленники рассылали фишинговые письма с RAR-архивами — якобы с важными документами, но на деле внутри была вредоносная программа. При распаковке архива вирус незаметно устанавливался на компьютер.

Как объясняет Олег Скулкин, руководитель направления Threat Intelligence в BI.ZONE, такие группировки постоянно ищут новые уязвимости и методы проникновения.

В этом случае архивы решали сразу две задачи: обходили почтовые фильтры (вложение выглядит как обычный документ) и позволяли установить вредоносный код через уязвимости в WinRAR.

Одной из целей Paper Werewolf стал российский производитель спецоборудования. Письмо выглядело официально: отправитель — крупный научно-исследовательский институт, а письмо пришло с адреса реальной мебельной компании, которую предварительно взломали. Внутри архива — «документы от министерства» и XPS Viewer. Эта программа сама по себе легитимная, но её исполняемый файл был подменён — в него внедрили вредоносный код, который давал злоумышленникам удалённый доступ к заражённому устройству.

Для атаки использовали уязвимость CVE-2025-6218, которая затрагивает версии WinRAR до 7.11 включительно. В последующих атаках применили уже уязвимость нулевого дня — пока не описанную официально. Она затрагивает и более новую версию WinRAR 7.12. Интересно, что незадолго до этого на теневом форуме появилось объявление о продаже рабочего эксплойта, предположительно именно для этой уязвимости. Продавец хотел за него $80 000.

Согласно данным BI.ZONE TDR, WinRAR установлен почти на всех корпоративных Windows-устройствах в России. Архиватор по-прежнему крайне популярен: каждый месяц продаётся около 10 000 лицензий.

BI.ZONE также отмечает, что с начала 2025 года 36% всех кибератак на российские организации были связаны с промышленным шпионажем. Paper Werewolf — одна из тех групп, кто активно этим занимается.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 14:50

Эксплойты Шпионские программы Программы слежения Уязвимости программ Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство BI.ZONE

Кибершпионы в России переключились на НИОКР и инженерные предприятия

Доля кибератак на российские организации, совершаемых с целью шпионажа, заметно выросла. По данным портала киберразведки BI.ZONE Threat Intelligence, в 2025 году на шпионские операции пришлось уже 37% атак (против 21% годом ранее). Иными словами, если раньше шпионской была примерно каждая пятая атака, то теперь — уже почти каждая третья.

При этом госсектор остаётся для таких группировок целью номер один. На органы государственного управления приходится 27% атак шпионских кластеров.

Но интерес злоумышленников всё чаще смещается и в сторону науки и технологий. Доля атак на организации, связанные с НИОКР, за год выросла вдвое — с 7% до 14%.

Как отмечает руководитель BI.ZONE Threat Intelligence Олег Скулкин, рост доли шпионских атак почти в полтора раза стал одним из ключевых трендов 2025 года. По его словам, специалисты наблюдают более 100 кластеров, нацеленных на Россию и страны СНГ, и около 45% из них — это именно шпионские группировки.

Интересно, что такие кластеры сильно различаются по уровню подготовки. В одних случаях злоумышленники применяют технически сложные инструменты, но выдают себя плохо составленными фишинговыми письмами. В других — атаки относительно простые, зато адаптированы под локальный контекст и выглядят максимально правдоподобно.

Так, во второй половине декабря 2025 года группировка Rare Werewolf атаковала научно-исследовательское и производственное предприятие оборонно-промышленного комплекса. Жертве отправили письмо якобы с коммерческим предложением на поставку и монтаж сетевого оборудования — от имени сотрудника научно-производственного центра беспилотных систем.

Во вложении не было классических зловредов. Вместо этого использовались легитимные инструменты: AnyDesk для удалённого доступа, 4t Tray Minimizer для скрытия окон и утилита Blat — для незаметной отправки похищенных данных. Такой подход позволяет дольше оставаться незамеченными и обходить системы защиты.

Впрочем, легитимными программами дело не ограничивается. Почти все шпионские кластеры активно применяют зловред собственной разработки. Новые самописные инструменты помогают обходить средства защиты и закрепляться в инфраструктуре на длительное время.

Кроме того, такие группировки, как правило, не стеснены в ресурсах. Они могут позволить себе покупку дорогостоящих эксплойтов, включая 0-day. Ранее специалисты BI.ZONE фиксировали атаки кластера Paper Werewolf, который, предположительно, приобрёл на теневом форуме эксплойт к уязвимости в WinRAR за 80 тысяч долларов.

Судя по динамике, кибершпионаж становится всё более системным и профессиональным — и явно не собирается сдавать позиции.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »