Basın Bülteni- ESET, WinRAR'da yeni bir sıfır gün güvenlik açığı keşfetti ve kullanıcıları acilen güncelleme yapmaya çağırdı

Siber güvenlik şirketi ESET, WinRAR'da daha önce bilinmeyen bir sıfır gün güvenlik
açığı keşfetti. WinRAR veya komut satırı yardımcı programlarının Windows sürümleri,
UnRAR.dll veya taşınabilir UnRAR kaynak kodu gibi diğer etkilenen bileşenleri
kullananların güncellemelerini ivedilikle yapmalarını ve bunları en son
sürüme yükseltmeleri önerisinde bulundu.

ESET araştırmacıları, WinRAR'da daha önce bilinmeyen bir güvenlik açığı keşfetti.
Bu güvenlik açığı, Rusya bağlantılı RomCom grubu tarafından gerçek ortamda istismar
edildi. ESET telemetri verilerine göre, 18-21 Temmuz 2025 tarihleri arasında
Avrupa ve Kanada'daki finans, üretim, savunma ve lojistik şirketlerini hedef
alan spearphishing (hedef odaklı kimlik avı) kampanyalarında kötü amaçlı arşivler
kullanıldı. Siber casusluk amacıyla gerçekleştirilen saldırılar, RomCom'un
önemli bir sıfırıncı gün güvenlik açığını istismar ettiği üçüncü yakalanışı.

ESET araştırmacıları Peter Str??ek ve Anton Cherepanov, 18 Temmuz'da, dikkatimizi
çeken olağan dışı yollar içeren bir RAR arşivinde msedge.dll adlı kötü amaçlı
bir DLL dosyası gözlemledik. Ayrıntılı analizler sonucunda, saldırganların WinRAR'ı
etkileyen ve o tarihteki 7.12 sürümünü de içeren, daha önce bilinmeyen bir
güvenlik açığını kullandığını tespit ettik. 24 Temmuz'da WinRAR'ın geliştiricisiyle
iletişime geçtik, aynı gün güvenlik açığı beta sürümünde düzeltildi ve
birkaç gün sonra tam sürüm yayımlandı. WinRAR kullanıcılarının riski azaltmak için
en son sürümü mümkün olan en kısa sürede yüklemelerini tavsiye ediyoruz. WinRAR'da
daha önce bilinmeyen bir sıfır gün güvenlik açığını istismar ederek RomCom
grubu, siber operasyonlarına ciddi çaba ve kaynak yatırımı yapmaya istekli
olduğunu göstermiştir. Keşfedilen kampanya, Rusya yanlısı APT gruplarının tipik
ilgi alanlarıyla örtüşen sektörleri hedef almıştır, bu da operasyonun arkasında
jeopolitik bir motivasyon olduğunu düşündürmektedir açıklamasını yaptılar.

CVE-2025-8088 adlı güvenlik açığı, alternatif veri akışlarının kullanılmasıyla
mümkün olan bir yol geçiş güvenlik açığı. Uygulama belgesi gibi görünen silahlandırılmış
arşivler, hedeflerini ele geçirmek için yol geçiş akışını istismar etti. Saldırganlar
spearphishing e-postasında, meraklı bir hedefin açacağını umarak bir CV gönderdi.
ESET telemetrisine göre, hedeflerin hiçbiri ele geçirilmedi. Ancak saldırganlar önceden
keşif yapmış ve e-postalar son derece hedef odaklıydı. Başarılı istismar girişimleri,
RomCom grubu tarafından kullanılan çeşitli arka kapılar sağladı - özellikle bir SnipBot
varyantı, RustyClaw ve Mythic ajanı.

ESET Research, hedef alınan bölge, taktikler, teknikler ve prosedürler (TTP'ler)
ile kullanılan kötü amaçlı yazılımlara dayanarak gözlemlenen faaliyetlerin RomCom'a
ait olduğunu tespit etti. RomCom (Storm-0978, Tropical Scorpius veya UNC2596
olarak da bilinir), seçilmiş iş sektörlerine karşı fırsatçı kampanyalar ve
hedefli casusluk operasyonları yürüten Rusya bağlantılı bir grup. Grubun odak noktası,
daha geleneksel siber suç operasyonlarının yanı sıra istihbarat toplayan
casusluk operasyonlarını da içerecek şekilde değişmiş durumda. Grup tarafından
kullanılan arka kapı, komutları yürütme ve kurbanın makinesine ek modüller indirme
yeteneğine sahip. RomCom'un kurbanlarını ele geçirmek için istismarları kullanması
ilk kez olmuyor. Haziran 2023'te grup, Ukrayna Dünya Kongresi ile ilgili
yemler kullanarak Avrupa'daki savunma ve hükümet kurumlarını hedef alan bir
spearphishing kampanyası gerçekleştirdi.


-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -