سوءاستفاده از آسیب‌پذیری‌های WinRAR در کارزارهای جاسوسی سایبری

به گزارش کارگروه امنیت خبرگزاری سایبربان، شرکت امنیت سایبری اسلواک ایست (ESET) در گزارشی روز دوشنبه اعلام کرد که گروه رامکام (RomCom) همسو با روسیه که با نام طوفان-0978 (Storm-0978) نیز شناخته می‌شود، نخستین گروهی بود که از یک آسیب‌پذیری تازه کشف‌شده در WinRAR با شناسه CVE-2025-8088 سوءاستفاده کرد.

این حفره امنیتی به مهاجمان اجازه می‌دهد پس از ترغیب قربانی به باز کردن یک فایل بایگانی آلوده، کد مخرب را روی سیستم او اجرا کنند.

این آسیب‌پذیری در ۲۴ ژوئیه، تنها شش روز پس از کشف توسط ایست، برطرف شد.

طبق این گزارش، رامکام با حملات فیشینگ هدفمند (Spearphishing) کارکنان شرکت‌های فعال در حوزه‌های مالی، تولیدی، دفاعی و لجستیک در اروپا و کانادا را هدف گرفت.

مهاجمان ایمیل‌هایی حاوی یک فایل رزومه آلوده ارسال می‌کردند تا گیرندگان آن را باز کنند، اما ایست اعلام کرد مدرکی از موفقیت این حملات در دست ندارد.

به گفته این شرکت، صنایع هدف با الگوهای معمول فعالیت گروه‌های جاسوسی حامی روسیه مطابقت دارند که نشانگر انگیزه احتمالی ژئوپلیتیکی است.

پژوهشگران نوشتند:

این حداقل سومین باری است که رامکام در حال سوءاستفاده فعال از یک آسیب‌پذیری روز-صفر مهم شناسایی می‌شود.

در سال ۲۰۲۳، این گروه با سوءاستفاده از یک نقص در مایکروسافت ورد، نهادهای دفاعی و دولتی اروپایی را هدف قرار داد و در ۲۰۲۴ از یک باگ ناشناخته در فایرفاکس برای نصب بدافزار در پشتی خود استفاده کرد.

در گزارشی جداگانه در هفته گذشته، پژوهشگران شرکت امنیت سایبری روسی بی زون (BI.ZONE) اعلام کردند که گروه کمترشناخته‌شده پیپر وروولف (Paper Werewolf) که با نام گوفی (Goffee) نیز پیگیری می‌شود، در حملات اخیر به سازمان‌های روسی از یک آسیب‌پذیری روز-صفر همراه با یک آسیب‌پذیری شناخته‌شده در WinRAR استفاده کرده است.

ایست روز دوشنبه اظهار داشت که آسیب‌پذیری روز-صفری که در گزارش بی زون آمده، همان نقص WinRAR است که در جریان تحقیق درباره رامکام شناسایی شد.

ایست افزود:

این عامل تهدید دوم، چند روز پس از رامکام شروع به سوءاستفاده از CVE-2025-8088 کرد.

این شرکت تأکید کرد که می‌داند این نقص توسط گروه دیگری نیز مورد سوءاستفاده قرار گرفته و به‌طور مستقل توسط پژوهشگران روس کشف شده است.

بی زون گمان می‌کند که پیپر وروولف اکسپلویت این آسیب‌پذیری روز-صفر را از یک انجمن دارک‌وب روس‌زبان خریداری کرده که به قیمت ۸۰ هزار دلار به فروش رسیده است.

آسیب‌پذیری شناخته‌شده قبلی WinRAR در گزارش بی زون با شناسه CVE-2025-6218 در ژوئن برطرف شده بود.

این نقص به مهاجمان اجازه می‌دهد در صورت باز کردن یک فایل آلوده یا بازدید از یک وب‌سایت مخرب، کد دلخواه را با همان سطح دسترسی کاربر اجرا کنند.

به گفته بی زون، حملات پیپر وروولف در ژوئیه و اوت، سازمان‌های روسی را از طریق ایمیل‌های فیشینگ که خود را به‌عنوان کارکنان «مؤسسه تحقیقات علمی سراسری روسیه» جا زده بودند، هدف گرفت.

این ایمیل‌ها حاوی آرشیوهای RAR آلوده بودند که پس از باز شدن، آسیب‌پذیری‌ها را برای دسترسی به سیستم قربانیان مورد بهره‌برداری قرار می‌دادند.

بی زون جزئیاتی درباره سازمان‌های هدف یا موفقیت حملات ارائه نکرد.

این شرکت مستقر در مسکو پیش‌تر از سوی اتحادیه اروپا به عنوان بخشی از راهبرد مقابله با تهدیدات ترکیبی روسیه تحریم شده بود.

هنوز مشخص نیست که رامکام و پیپر وروولف ارتباطی با یکدیگر دارند یا خیر.

پژوهشگران تا زمان انتشار این خبر به درخواست‌ها برای اظهارنظر پاسخ نداده‌اند.

پیپر وروولف به هیچ دولت شناخته‌شده‌ای نسبت داده نشده است.

این گروه به دلیل کارزارهای فیشینگ علیه نهادهای روسی، با استفاده از پیوست‌های آلوده که در قالب اسناد رسمی جعل می‌شوند، شناخته می‌شود.

در آوریل، شرکت کسپرسکی (Kaspersky) گزارش داد که این گروه از بدافزار اختصاصی خود با نام پاور مدول (PowerModul) برای سرقت فایل‌ها از فلش‌درایوهای متصل به رایانه‌های روسی استفاده کرده است.

هرچند گمان می‌رود هدف اصلی پیپر وروولف جاسوسی باشد، اما بی زون دست‌کم یک مورد را گزارش کرده که این گروه در آن فعالیت شبکه‌ای یک سازمان هدف را مختل کرده است.