Eset araştırmacıları, WinRAR’da daha önce bilinmeyen bir güvenlik açığı keşfetti. Bu güvenlik açığı, Rusya bağlantılı RomCom grubu tarafından gerçek ortamda istismar edildi. Eset telemetri verilerine göre, 18-21 Temmuz 2025 tarihleri arasında Avrupa ve Kanada’daki finans, üretim, savunma ve lojistik şirketlerini hedef alan spearphishing (hedef odaklı kimlik avı) kampanyalarında kötü amaçlı arşivler kullanıldı. Siber casusluk amacıyla gerçekleştirilen saldırılar, RomCom’un önemli bir sıfırıncı gün güvenlik açığını istismar ettiği üçüncü yakalanışı.
Eset araştırmacıları Peter Strýček ve Anton Cherepanov şu açıklamayı yaptılar:
“18 Temmuz’da, dikkatimizi çeken olağan dışı yollar içeren bir RAR arşivinde msedge.dll adlı kötü amaçlı bir DLL dosyası gözlemledik. Ayrıntılı analizler sonucunda, saldırganların WinRAR’ı etkileyen ve o tarihteki 7.12 sürümünü de içeren, daha önce bilinmeyen bir güvenlik açığını kullandığını tespit ettik. 24 Temmuz’da WinRAR’ın geliştiricisiyle iletişime geçtik; aynı gün güvenlik açığı beta sürümünde düzeltildi ve birkaç gün sonra tam sürüm yayımlandı. WinRAR kullanıcılarının riski azaltmak için en son sürümü mümkün olan en kısa sürede yüklemelerini tavsiye ediyoruz. WinRAR’da daha önce bilinmeyen bir sıfır gün güvenlik açığını istismar ederek RomCom grubu, siber operasyonlarına ciddi çaba ve kaynak yatırımı yapmaya istekli olduğunu göstermiştir. Keşfedilen kampanya, Rusya yanlısı APT gruplarının tipik ilgi alanlarıyla örtüşen sektörleri hedef almıştır, bu da operasyonun arkasında jeopolitik bir motivasyon olduğunu düşündürmektedir”
CVE-2025-8088 adlı güvenlik açığı, alternatif veri akışlarının kullanılmasıyla mümkün olan bir yol geçiş güvenlik açığı. Uygulama belgesi gibi görünen silahlandırılmış arşivler, hedeflerini ele geçirmek için yol geçiş akışını istismar etti. Saldırganlar spearphishing e-postasında, meraklı bir hedefin açacağını umarak bir CV gönderdi. Eset telemetrisine göre, hedeflerin hiçbiri ele geçirilmedi. Ancak saldırganlar önceden keşif yapmış ve e-postalar son derece hedef odaklıydı. Başarılı istismar girişimleri, RomCom grubu tarafından kullanılan çeşitli arka kapılar sağladı – özellikle bir SnipBot varyantı, RustyClaw ve Mythic ajanı.
Eset Research, hedef alınan bölge, taktikler, teknikler ve prosedürler (TTP’ler) ile kullanılan kötü amaçlı yazılımlara dayanarak gözlemlenen faaliyetlerin RomCom’a ait olduğunu tespit etti. RomCom (Storm-0978, Tropical Scorpius veya UNC2596 olarak da bilinir), seçilmiş iş sektörlerine karşı fırsatçı kampanyalar ve hedefli casusluk operasyonları yürüten Rusya bağlantılı bir grup. Grubun odak noktası, daha geleneksel siber suç operasyonlarının yanı sıra istihbarat toplayan casusluk operasyonlarını da içerecek şekilde değişmiş durumda. Grup tarafından kullanılan arka kapı, komutları yürütme ve kurbanın makinesine ek modüller indirme yeteneğine sahip. RomCom’un kurbanlarını ele geçirmek için istismarları kullanması ilk kez olmuyor. Haziran 2023’te grup, Ukrayna Dünya Kongresi ile ilgili yemler kullanarak Avrupa’daki savunma ve hükümet kurumlarını hedef alan bir spearphishing kampanyası gerçekleştirdi.
Kaynak : 