Siber güvenlik şirketi ESET, WinRAR’da daha evvel bilinmeyen bir sıfır gün güvenlik açığı keşfetti. WinRAR yahut komut satırı yardımcı programlarının Windows sürümleri, UnRAR.dll yahut taşınabilir UnRAR kaynak kodu üzere başka etkilenen bileşenleri kullananların güncellemelerini acilen yapmalarını ve bunları en son sürüme yükseltmeleri teklifinde bulundu.
ESET araştırmacıları, WinRAR’da daha evvel bilinmeyen bir güvenlik açığı keşfetti. Bu güvenlik açığı, Rusya temaslı RomCom kümesi tarafından gerçek ortamda istismar edildi. ESET telemetri datalarına nazaran, 18-21 Temmuz 2025 tarihleri ortasında Avrupa ve Kanada’daki finans, üretim, savunma ve lojistik şirketlerini gaye alan spearphishing (hedef odaklı kimlik avı) kampanyalarında berbat gayeli arşivler kullanıldı. Siber casusluk gayesiyle gerçekleştirilen ataklar, RomCom’un kıymetli bir sıfırıncı gün güvenlik açığını istismar ettiği üçüncü yakalanışı.
ESET araştırmacıları Peter Strýček ve Anton Cherepanov, “18 Temmuz’da, dikkatimizi çeken olağan dışı yollar içeren bir RAR arşivinde msedge.dll isimli berbat maksatlı bir DLL evrakı gözlemledik. Detaylı tahliller sonucunda, saldırganların WinRAR’ı etkileyen ve o tarihteki 7.12 sürümünü de içeren, daha evvel bilinmeyen bir güvenlik açığını kullandığını tespit ettik. 24 Temmuz’da WinRAR’ın geliştiricisiyle irtibata geçtik; birebir gün güvenlik açığı beta sürümünde düzeltildi ve birkaç gün sonra tam sürüm yayımlandı. WinRAR kullanıcılarının riski azaltmak için en son sürümü mümkün olan en kısa müddette yüklemelerini tavsiye ediyoruz. WinRAR’da daha evvel bilinmeyen bir sıfır gün güvenlik açığını istismar ederek RomCom kümesi, siber operasyonlarına önemli efor ve kaynak yatırımı yapmaya istekli olduğunu göstermiştir. Keşfedilen kampanya, Rusya yanlısı APT kümelerinin tipik ilgi alanlarıyla örtüşen kesimleri gaye almıştır, bu da operasyonun ardında jeopolitik bir motivasyon olduğunu düşündürmektedir” açıklamasını yaptılar.
CVE-2025-8088 adlı güvenlik açığı, alternatif data akışlarının kullanılmasıyla mümkün olan bir yol geçiş güvenlik açığı. Uygulama dokümanı üzere görünen silahlandırılmış arşivler, gayelerini ele geçirmek için yol geçiş akışını istismar etti. Saldırganlar spearphishing e-postasında, meraklı bir maksadın açacağını umarak bir CV gönderdi. ESET telemetrisine nazaran, amaçların hiçbiri ele geçirilmedi. Fakat saldırganlar evvelden keşif yapmış ve e-postalar son derece amaç odaklıydı. Başarılı istismar teşebbüsleri, RomCom kümesi tarafından kullanılan çeşitli art kapılar sağladı – bilhassa bir SnipBot varyantı, RustyClaw ve Mythic casusu.
ESET Research, gaye alınan bölge, taktikler, teknikler ve prosedürler (TTP’ler) ile kullanılan berbat maksatlı yazılımlara dayanarak gözlemlenen faaliyetlerin RomCom’a ilişkin olduğunu tespit etti. RomCom (Storm-0978, Tropical Scorpius yahut UNC2596 olarak da bilinir), seçilmiş iş bölümlerine karşı fırsatçı kampanyalar ve amaçlı casusluk operasyonları yürüten Rusya kontaklı bir küme. Kümenin odak noktası, daha klâsik siber cürüm operasyonlarının yanı sıra istihbarat toplayan casusluk operasyonlarını da içerecek formda değişmiş durumda. Küme tarafından kullanılan art kapı, komutları yürütme ve kurbanın makinesine ek modüller indirme yeteneğine sahip. RomCom’un kurbanlarını ele geçirmek için istismarları kullanması birinci sefer olmuyor. Haziran 2023’te küme, Ukrayna Dünya Kongresi ile ilgili yemler kullanarak Avrupa’daki savunma ve hükümet kurumlarını maksat alan bir spearphishing kampanyası gerçekleştirdi.
Kaynak: (BYZHA) Beyaz Haber Ajansı
