Siber güvenlik şirketi ESET, WinRAR’da daha evvel bilinmeyen bir sıfır gün güvenlik açığı keşfetti. WinRAR yahut komut satırı yardımcı programlarının Windows sürümleri, UnRAR.dll yahut taşınabilir UnRAR kaynak kodu üzere öbür etkilenen bileşenleri kullananların güncellemelerini acilen yapmalarını ve bunları en son sürüme yükseltmeleri teklifinde bulundu.
ESET araştırmacıları, WinRAR’da daha evvel bilinmeyen bir güvenlik açığı keşfetti. Bu güvenlik açığı, Rusya ilişkili RomCom kümesi tarafından gerçek ortamda istismar edildi. ESET telemetri bilgilerine nazaran, 18-21 Temmuz 2025 tarihleri ortasında Avrupa ve Kanada’daki finans, üretim, savunma ve lojistik şirketlerini amaç alan spearphishing (hedef odaklı kimlik avı) kampanyalarında makus emelli arşivler kullanıldı. Siber casusluk hedefiyle gerçekleştirilen akınlar, RomCom’un değerli bir sıfırıncı gün güvenlik açığını istismar ettiği üçüncü yakalanışı.
ESET araştırmacıları Peter Strýček ve Anton Cherepanov, “18 Temmuz’da, dikkatimizi çeken olağan dışı yollar içeren bir RAR arşivinde msedge.dll isimli makûs maksatlı bir DLL belgesi gözlemledik. Detaylı tahliller sonucunda, saldırganların WinRAR’ı etkileyen ve o tarihteki 7.12 sürümünü de içeren, daha evvel bilinmeyen bir güvenlik açığını kullandığını tespit ettik. 24 Temmuz’da WinRAR’ın geliştiricisiyle bağlantıya geçtik; birebir gün güvenlik açığı beta sürümünde düzeltildi ve birkaç gün sonra tam sürüm yayımlandı. WinRAR kullanıcılarının riski azaltmak için en son sürümü mümkün olan en kısa müddette yüklemelerini tavsiye ediyoruz. WinRAR’da daha evvel bilinmeyen bir sıfır gün güvenlik açığını istismar ederek RomCom kümesi, siber operasyonlarına önemli uğraş ve kaynak yatırımı yapmaya istekli olduğunu göstermiştir. Keşfedilen kampanya, Rusya yanlısı APT kümelerinin tipik ilgi alanlarıyla örtüşen dalları amaç almıştır, bu da operasyonun gerisinde jeopolitik bir motivasyon olduğunu düşündürmektedir” açıklamasını yaptılar.
CVE-2025-8088 adlı güvenlik açığı, alternatif bilgi akışlarının kullanılmasıyla mümkün olan bir yol geçiş güvenlik açığı. Uygulama evrakı üzere görünen silahlandırılmış arşivler, maksatlarını ele geçirmek için yol geçiş akışını istismar etti. Saldırganlar spearphishing e-postasında, meraklı bir amacın açacağını umarak bir CV gönderdi. ESET telemetrisine nazaran, maksatların hiçbiri ele geçirilmedi. Fakat saldırganlar evvelden keşif yapmış ve e-postalar son derece gaye odaklıydı. Başarılı istismar teşebbüsleri, RomCom kümesi tarafından kullanılan çeşitli art kapılar sağladı – bilhassa bir SnipBot varyantı, RustyClaw ve Mythic casusu.
ESET Research, maksat alınan bölge, taktikler, teknikler ve prosedürler (TTP’ler) ile kullanılan berbat hedefli yazılımlara dayanarak gözlemlenen faaliyetlerin RomCom’a ilişkin olduğunu tespit etti. RomCom (Storm-0978, Tropical Scorpius yahut UNC2596 olarak da bilinir), seçilmiş iş dallarına karşı fırsatçı kampanyalar ve maksatlı casusluk operasyonları yürüten Rusya irtibatlı bir küme. Kümenin odak noktası, daha klasik siber hata operasyonlarının yanı sıra istihbarat toplayan casusluk operasyonlarını da içerecek biçimde değişmiş durumda. Küme tarafından kullanılan art kapı, komutları yürütme ve kurbanın makinesine ek modüller indirme yeteneğine sahip. RomCom’un kurbanlarını ele geçirmek için istismarları kullanması birinci kere olmuyor. Haziran 2023’te küme, Ukrayna Dünya Kongresi ile ilgili yemler kullanarak Avrupa’daki savunma ve hükümet kurumlarını gaye alan bir spearphishing kampanyası gerçekleştirdi.
Kaynak: (BYZHA) Beyaz Haber Ajansı
