Yaygın olarak kullanılan dosya sıkıştırma aracı WinRAR’daki yüksek riskli bir sıfır gün güvenlik açığı, iki Rus siber suç grubu tarafından aktif olarak istismar ediliyor. Bu saldırılar, hedef bilgisayarlara oltalama mesajlarıyla gönderilen kötü niyetli arşiv dosyaları açıldığında arka kapı erişimi sağlıyor.
Güvenlik firması ESET, saldırıları ilk olarak 18 Temmuz’da telemetri verilerinde olağandışı bir dizin yolunda bir dosya tespit ederek fark ettiğini duyurdu. 24 Temmuz’a gelindiğinde ESET, bu davranışın WinRAR’daki bilinmeyen bir güvenlik açığının istismarıyla ilişkili olduğunu belirledi. Yaklaşık 500 milyon kullanıcısı bulunan WinRAR’ın geliştiricilerine aynı gün haber verildi ve altı gün sonra bir düzeltme yayımlandı.
Söz konusu güvenlik açığı, Windows’un aynı dosya yolunu farklı şekillerde temsil etmesine olanak tanıyan alternatif veri akışları özelliğini kötüye kullanıyordu. İstismar, WinRAR’ın kötü niyetli çalıştırılabilir dosyaları saldırganlar tarafından belirlenen %TEMP% ve %LOCALAPPDATA% gibi dosya yollarına yerleştirmesine neden olan, daha önce bilinmeyen bir yol geçişi hatasını tetikliyordu. Normalde Windows, bu yolların kod çalıştırma yetenekleri nedeniyle erişimini kısıtlar.
ESET, saldırıların Rusya merkezli, finansal motivasyonlu bir suç grubu olan RomCom tarafından gerçekleştirildiğini tespit etti. Kaynakları güçlü olan bu grup, yıllardır istismarları tedarik etme ve oldukça gelişmiş siber operasyonlar yürütme yeteneğini sergileyen saldırılarda aktif rol alıyor. Grubun kullandığı sıfır gün güvenlik açığı şu anda CVE-2025-8088 olarak izleniyor.
ESET’ten Anton Cherepanov, Peter Strýček ve Damien Schaeffer, “WinRAR’daki daha önce bilinmeyen bir sıfır gün güvenlik açığını istismar ederek, RomCom grubu siber operasyonlarına ciddi çaba ve kaynak yatırmaya istekli olduğunu gösterdi” dedi. Ayrıca, “Bu, RomCom’un doğada bir sıfır gün güvenlik açığını kullandığı en az üçüncü kezdir, bu da hedeflenen saldırılar için istismarları edinme ve kullanma konusundaki sürekli odaklanmasını vurgulamaktadır” ifadelerini kullandılar.
Şaşırtıcı bir şekilde, CVE-2025-8088’i istismar eden tek grup RomCom değildi. Rus güvenlik firması BI.ZONE’a göre, aynı güvenlik açığı Paper Werewolf olarak takip ettikleri bir grup tarafından da aktif olarak istismar ediliyordu. GOFFEE olarak da bilinen bu grup, CVE-2025-8088 yamalanmadan beş hafta önce düzeltilen ayrı bir yüksek riskli WinRAR güvenlik açığı olan CVE-2025-6218’i de istismar ediyordu.
BI.ZONE, Paper Werewolf’un Temmuz ve Ağustos aylarında Rusya Tüm-Araştırma Enstitüsü çalışanları gibi davranan e-postalar aracılığıyla sömürüleri teslim ettiğini belirtti. Nihai amaç, Paper Werewolf’a enfekte sistemlere erişim sağlayan kötü amaçlı yazılımları kurmaktı.
ESET ve BI.ZONE’un keşifleri birbirinden bağımsız olsa da, güvenlik açıklarını istismar eden grupların bağlantılı olup olmadığı veya bilgiyi aynı kaynaktan mı edindikleri bilinmiyor. BI.ZONE, Paper Werewolf’un güvenlik açıklarını bir karanlık pazar suç forumundan temin etmiş olabileceğini tahmin etti.
ESET, gözlemlediği saldırıların üç farklı yürütme zinciri izlediğini belirtti. Bir zincir, belirli bir kuruluşu hedef alan saldırılarda kullanıldı. Bu zincirde, Microsoft Edge gibi belirli uygulamalar tarafından çalıştırılmasına neden olan COM kaçırma olarak bilinen bir yöntem kullanılarak bir arşivde gizlenmiş kötü niyetli bir DLL dosyası çalıştırıldı.
Arşivdeki DLL dosyası, gömülü kabuk kodunu şifreledi. Bu kabuk kodu, mevcut makinenin alan adını aldı ve önceden kodlanmış bir değerle karşılaştırdı. İki değer eşleştiğinde, kabuk kodu Mythic Agent istismar çerçevesinin özel bir örneğini kurdu.
İkinci bir zincir, bilinen bir RomCom kötü amaçlı yazılımı olan SnipBot’u kuran nihai bir yükü teslim etmek için kötü niyetli bir Windows çalıştırılabilir dosyası çalıştırdı. Bu zincir, boş bir sanal makinede veya sanal ortamda açıldığında kendini sonlandırarak adli analiz girişimlerini engelledi. Bu, araştırmacılar arasında yaygın bir uygulamadır.
Üçüncü bir zincir ise, RomCom’un bilinen diğer iki kötü amaçlı yazılımı olan RustyClaw ve Melting Claw’u kullandı.
WinRAR güvenlik açıkları daha önce de kötü amaçlı yazılım kurmak için istismar edilmişti. 2019’dan kalma bir kod yürütme güvenlik açığı, yamalandıktan kısa bir süre sonra 2019’da geniş çaplı istismara uğramıştı. 2023’te ise, bir WinRAR sıfır gün güvenlik açığı saldırılar tespit edilmeden dört aydan fazla bir süre istismar edildi.
WinRAR’ın geniş kullanıcı tabanının yanı sıra, yeni güncellemeleri otomatik olarak yüklemek için otomatik bir mekanizmaya sahip olmaması, onu kötü amaçlı yazılımların yayılması için mükemmel bir araç haline getiriyor. Bu, kullanıcıların yamaları kendileri indirip yüklemesi gerektiği anlamına geliyor. Dahası, ESET, komut satırı araçları olan UnRAR.dll’nin Windows sürümlerinin ve taşınabilir UnRAR kaynak kodunun da savunmasız olduğunu belirtti.
WinRAR’ın 7.13 sürümünden önceki tüm sürümlerinden uzak durulmalı. Bu makale yayımlandığında 7.13 en güncel sürümdü. Bilinen tüm güvenlik açıklarını düzeltmeleri içeriyor, ancak WinRAR sıfır gün güvenlik açılarının neredeyse hiç bitmeyen akışı göz önüne alındığında bu çok da bir güvence sağlamıyor.
