Siber güvenlik şirketi ESET, WinRAR’da daha evvel bilinmeyen bir sıfır gün güvenlik açığı keşfetti. WinRAR yahut komut satırı yardımcı programlarının Windows sürümleri, UnRAR.dll yahut taşınabilir UnRAR kaynak kodu üzere başka etkilenen bileşenleri kullananların güncellemelerini acilen yapmalarını ve bunları en son sürüme yükseltmeleri teklifinde bulundu.
ESET araştırmacıları, WinRAR’da daha evvel bilinmeyen bir güvenlik açığı keşfetti. Bu güvenlik açığı, Rusya kontaklı RomCom kümesi tarafından gerçek ortamda istismar edildi. ESET telemetri bilgilerine nazaran, 18-21 Temmuz 2025 tarihleri ortasında Avrupa ve Kanada’daki finans, üretim, savunma ve lojistik şirketlerini gaye alan spearphishing (hedef odaklı kimlik avı) kampanyalarında berbat emelli arşivler kullanıldı. Siber casusluk gayesiyle gerçekleştirilen akınlar, RomCom’un değerli bir sıfırıncı gün güvenlik açığını istismar ettiği üçüncü yakalanışı.
ESET araştırmacıları Peter Strýček ve Anton Cherepanov, “18 Temmuz’da, dikkatimizi çeken olağan dışı yollar içeren bir RAR arşivinde msedge.dll isimli berbat gayeli bir DLL evrakı gözlemledik. Detaylı tahliller sonucunda, saldırganların WinRAR’ı etkileyen ve o tarihteki 7.12 sürümünü de içeren, daha evvel bilinmeyen bir güvenlik açığını kullandığını tespit ettik. 24 Temmuz’da WinRAR’ın geliştiricisiyle irtibata geçtik; birebir gün güvenlik açığı beta sürümünde düzeltildi ve birkaç gün sonra tam sürüm yayımlandı. WinRAR kullanıcılarının riski azaltmak için en son sürümü mümkün olan en kısa müddette yüklemelerini tavsiye ediyoruz. WinRAR’da daha evvel bilinmeyen bir sıfır gün güvenlik açığını istismar ederek RomCom kümesi, siber operasyonlarına önemli uğraş ve kaynak yatırımı yapmaya istekli olduğunu göstermiştir. Keşfedilen kampanya, Rusya yanlısı APT kümelerinin tipik ilgi alanlarıyla örtüşen kesimleri maksat almıştır, bu da operasyonun gerisinde jeopolitik bir motivasyon olduğunu düşündürmektedir” açıklamasını yaptılar.
CVE-2025-8088 adlı güvenlik açığı, alternatif data akışlarının kullanılmasıyla mümkün olan bir yol geçiş güvenlik açığı. Uygulama evrakı üzere görünen silahlandırılmış arşivler, maksatlarını ele geçirmek için yol geçiş akışını istismar etti. Saldırganlar spearphishing e-postasında, meraklı bir maksadın açacağını umarak bir CV gönderdi. ESET telemetrisine nazaran, amaçların hiçbiri ele geçirilmedi. Lakin saldırganlar evvelce keşif yapmış ve e-postalar son derece amaç odaklıydı. Başarılı istismar teşebbüsleri, RomCom kümesi tarafından kullanılan çeşitli art kapılar sağladı – bilhassa bir SnipBot varyantı, RustyClaw ve Mythic casusu.
ESET Research, maksat alınan bölge, taktikler, teknikler ve prosedürler (TTP’ler) ile kullanılan berbat hedefli yazılımlara dayanarak gözlemlenen faaliyetlerin RomCom’a ilişkin olduğunu tespit etti. RomCom (Storm-0978, Tropical Scorpius yahut UNC2596 olarak da bilinir), seçilmiş iş kesimlerine karşı fırsatçı kampanyalar ve gayeli casusluk operasyonları yürüten Rusya temaslı bir küme. Kümenin odak noktası, daha klâsik siber kabahat operasyonlarının yanı sıra istihbarat toplayan casusluk operasyonlarını da içerecek halde değişmiş durumda. Küme tarafından kullanılan art kapı, komutları yürütme ve kurbanın makinesine ek modüller indirme yeteneğine sahip. RomCom’un kurbanlarını ele geçirmek için istismarları kullanması birinci kere olmuyor. Haziran 2023’te küme, Ukrayna Dünya Kongresi ile ilgili yemler kullanarak Avrupa’daki savunma ve hükümet kurumlarını amaç alan bir spearphishing kampanyası gerçekleştirdi.
Kaynak: (BYZHA) Beyaz Haber Ajansı