Merhaba
RomCom saldırganları, yeni ortaya çıkarılan WinRAR güvenlik açığını (CVE-2025-8088) sıfırıncı gün saldırılarında kullanan tek grup değil: Rus siber güvenlik şirketi BI.ZONE’a göre, Paper Werewolf olarak takip edilen bir grup da bu açığı kullanarak Rus kurumlarını hedef alıyor.
BI.ZONE araştırmacıları ayrıca RomCom ve Paper Werewolf’un aynı istismarı nasıl ele geçirdiğine dair ipuçları da bulmuş olabilir: Görünüşe göre bu exploit, Haziran ayının sonunda bir siber suç forumunda 80.000 dolara satışa sunulmuş.
Tespit Edilen Kampanyalar
Pazartesi günü, ESET araştırmacıları CVE-2025-8088 güvenlik açığını (WinRAR v7.12’yi etkileyen ve kötü amaçlı kod çalıştırmaya imkan tanıyan path-traversal zafiyeti) kullanan saldırıların 18–21 Temmuz tarihleri arasında gerçekleştiğini paylaştı. Bu saldırılar, Avrupa ve Kanada’daki finans, üretim, savunma ve lojistik şirketlerini hedef aldı.
Hedeflere, iş arayan kişilerden gelmiş gibi görünen oltalama (spearphishing) e-postaları gönderildi ve bu e-postalara özgeçmiş (CV) içeriyor gibi görünen belgeler eklendi.
ESET araştırmacılarının açıklaması şöyle:
- Zafiyet, alternate data streams (ADSes) kullanarak path traversal gerçekleştiriyor. Saldırganlar, arşivi yalnızca tek bir masum dosya içeriyor gibi gösterecek şekilde özel olarak hazırlıyor, ancak aslında içinde birçok kötü amaçlı ADS bulunuyor (kullanıcı açısından bunlara dair hiçbir belirti yok).
- Kurban bu masum görünümlü dosyayı açtığında, WinRAR bunu tüm ADS’leriyle birlikte açıyor. Örneğin Eli_Rosenfeld_CV2 – Copy (10).rar açıldığında, kötü amaçlı bir DLL dosyası %TEMP% klasörüne bırakılıyor. Aynı şekilde kötü amaçlı bir LNK dosyası Windows başlangıç dizinine yerleştirilerek, kullanıcı oturum açtığında otomatik çalıştırma yoluyla kalıcılık sağlanıyor.
ESET’in telemetrisi, hedeflenen kurumların hiçbirinin gerçekten ele geçirilmediğini gösteriyor. Sonraki analizler, saldırganların asıl amacının bir arka kapı yüklemek olduğunu ortaya koydu: SnipBot’un bir varyantı, RustyClaw veya Mythic agent.
ESET, bu faaliyetleri bölgesel hedefler, kullanılan TTP’ler (taktikler, teknikler ve prosedürler) ve kullanılan kötü amaçlı yazılımlara dayanarak yüksek doğrulukla RomCom grubuna atfediyor. RomCom (Storm-0978, Tropical Scorpius, UNC2596 olarak da bilinir) Rusya bağlantılı bir grup olup, hem seçili sektörlere yönelik fırsatçı saldırılar hem de istihbarat toplama amaçlı casusluk operasyonları yürütüyor. Son dönemde grubun odağı, geleneksel siber suç faaliyetlerinin yanında, istihbarat amaçlı casusluk operasyonlarını da kapsayacak şekilde genişledi.
ESET ayrıca, bu güvenlik açığının başka bir tehdit aktörü tarafından da istismar edildiğini ve bağımsız olarak Rus siber güvenlik firması BI.ZONE tarafından keşfedildiğini belirtiyor. Özellikle, bu ikinci tehdit aktörü RomCom’dan sadece birkaç gün sonra CVE-2025-8088’i kullanmaya başlamış.
BI.ZONE’a göre, CVE-2025-8088 exploit’i içeren tuzaklı arşiv dosyalarını dağıtan oltalama kampanyası, Rus kuruluşlarını hedef aldı.
Bundan önce, Temmuz ayının başında Paper Werewolf grubu, CVE-2025-8088’e çok benzeyen başka bir güvenlik açığını (CVE-2025-6218) da kullanmıştı. Bu zafiyet Haziran 2025’in başlarında WinRAR geliştiricilerine bildirildi ve 10 Haziran’da yayımlanan WinRAR 7.12 beta 1 ile yamalandı.
Her iki kampanyada da saldırganlar kendilerini bir devlet kurumunda çalışan personel gibi göstererek, alıcıya bir Rus bakanlığından gelen resmi bir mektup hakkında bilgi veriyormuş gibi davrandı. Daha sonraki bir kampanyada ise bir havayolu şirketine dair bilgi sunuyormuş gibi görünen tuzaklı belgeler gönderildi.
WinRAR Kullanıcıları Ne Yapmalı?
Her iki WinRAR güvenlik açığının (CVE-2025-8088 ve CVE-2025-6218) kamuya açıklanmış olması ve CVE-2025-6218 için geliştirilen exploit’in kaç saldırganın elinde olduğu bilinmemesi nedeniyle, önümüzdeki dönemde daha fazla ve daha yaygın saldırıların gerçekleşmesi oldukça olası görünüyor.
- 500 milyondan fazla WinRAR kullanıcısına önerilen en kritik adım, her iki açığı da gideren WinRAR 7.13 sürümünü indirip kurmak.
- CVE-2025-6218 ayrıca UnRAR, taşınabilir UnRAR kaynak kodu ve UnRAR.dll bileşenlerini de etkiliyor. Bu nedenle, bu bileşenlerin de güncellenmesi gerekiyor.
- ESET ve BI.ZONE, kurumların bu kampanyalarda hedef alınıp alınmadığını kontrol edebilmesi için IoC (Indicator of Compromise) bilgilerini paylaştı. Güvenlik ekiplerinin bu IoC’leri kullanarak sistemlerinde tarama yapması öneriliyor.
Öneri:
WinRAR’ı derhal 7.13 sürümüne güncelleyin, UnRAR bileşenlerini de unutmayın, güvenlik raporlarındaki IoC’leri takip ederek sistemlerinizde kontrolleri gerçekleştirin.
7-Zip Kullanıcıları da Güncelleme Yapmalı
Geçtiğimiz hafta sonu OSS-SEC e-posta listesi üzerinden, popüler arşivleme yazılımı 7-Zip’te yeni bir güvenlik açığı (CVE-2025-55188) kamuya duyuruldu.
- Etkilenen sürümler: 7-Zip’in 25.01 öncesi tüm sürümleri (25.01 sürümü Ağustos 2025’in başında yayımlandı).
- Risk: Saldırganlar, kurbanın sistemine keyfi dosyalar yazabilir ve bunları çalıştırabilir.
- Sebep: 25.01 öncesinde, kötü amaçlı hazırlanmış bir arşivin güvensiz sembolik bağlantı (symlink) oluşturması mümkündü. 7-Zip, çıkarma işlemi sırasında bu symlink’leri takip ediyor, bu da keyfi dosya yazmaya yol açıyor.
Araştırmacının açıklamaları:
- Linux kullanıcıları için istismar yüksek güvenilirlikle gerçekleştirilebiliyor, çünkü 7-Zip; *.zip, *.tar, *.7z veya .rar gibi symlink destekleyen arşiv formatlarını açarken bu bağlantıları takip ediyor.
- Windows’ta da saldırı mümkün, ancak ek koşullar gerekli: çıkarma işleminin Yönetici ayrıcalıklarıyla yapılması veya Windows’un Geliştirici Modunda olması gibi durumlar gerekiyor.
Öneri:
Tüm kullanıcıların 7-Zip’i 25.01 sürümüne (veya daha yenisine) güncellemesi gerekiyor.