Categories: Teknoloji

Rusya Bağlantılı RomCom Grubu WinRAR Açığını Hedef Aldı

Avrupa ve Kanada’daki şirketler tehlikede: WinRAR kullanıcıları güncelleme yapmalı! Rusya Bağlantılı RomCom Grubu WinRAR Açığını Hedef Aldı!

Siber güvenlik araştırmacıları, WinRAR’ın Windows sürümlerinde kritik bir sıfır gün açığı keşfetti. ESET’in aktardığına göre bu güvenlik açığı, Rusya bağlantılı RomCom adlı APT grubu tarafından istismar edilerek Avrupa ve Kanada’daki finans, savunma, lojistik ve üretim şirketleri hedef alındı.

18–21 Temmuz 2025 tarihleri arasında yürütülen saldırılarda, spearphishing (hedefli kimlik avı) yöntemleriyle hazırlanmış kötü amaçlı RAR dosyaları kullanıldı. Siber casusluk amacı taşıyan operasyon, RomCom grubunun bugüne kadar yakalanan üçüncü sıfır gün istismarı oldu.

WinRAR açığı nasıl keşfedildi?

ESET araştırmacıları Peter Strýček ve Anton Cherepanov, olağan dışı yollar içeren bir RAR dosyasında msedge.dll adında kötü amaçlı bir DLL tespit etti. Yapılan analizde, WinRAR’ın 7.12 sürümü dahil olmak üzere o dönemde kullanılan versiyonların kritik bir açık barındırdığı belirlendi.

24 Temmuz’da WinRAR geliştiricileri bilgilendirildi.
Aynı gün beta sürümde açık kapatıldı.
Kısa süre sonra tam sürüm yayımlandı.

ESET, tüm kullanıcıların WinRAR ve ilişkili bileşenlerini en güncel sürüme yükseltmesini tavsiye ediyor.

CVE-2025-8088 açığı nasıl çalışıyor?

CVE-2025-8088 olarak kayıt altına alınan açık, “yol geçiş güvenlik zafiyeti” olarak tanımlanıyor.

Yöntem: Alternatif veri akışlarının kullanılması.
Amaç: Masum görünen arşivler üzerinden sisteme sızmak.
Yem: Spearphishing e-postalarında “CV dosyası” gibi görünen ekler.

Her ne kadar saldırıların başarılı olduğu raporlanmasa da, saldırganların önceden keşif yaptığı ve son derece hedefli e-postalar kullandığı belirtildi.

RomCom grubunun geçmişi

RomCom (Storm-0978, Tropical Scorpius veya UNC2596 olarak da bilinir), uzun süredir hedefli casusluk operasyonları yürütüyor. Grup, daha önce de Ukrayna Dünya Kongresi üzerinden Avrupa’daki hükümet ve savunma kurumlarını hedef almıştı.
Kullandığı araçlar arasında SnipBot varyantları, RustyClaw ve Mythic ajanları bulunuyor. Bu zararlı yazılımlar kurbanın sistemine sızarak komut çalıştırma, modül indirme ve uzun vadeli casusluk imkanı sağlıyor.

📊 Özet Tablo: RomCom – WinRAR Sıfır Gün İstismarı

Başlık	Detay
Hedef Bölgeler	Avrupa ve Kanada
Hedef Sektörler	Finans, savunma, lojistik, üretim
Zafiyet Kodu	CVE-2025-8088
Saldırı Yöntemi	Spearphishing + kötü amaçlı RAR dosyaları
Etkilenen Sürüm	WinRAR 7.12 ve önceki sürümler
Sonuç	Arka kapı kurulumu, veri sızıntısı, casusluk
Çözüm	WinRAR’ın en son sürümüne güncelleme

❓ Sıkça Sorulan Sorular (SSS)

1. WinRAR’daki açık tüm kullanıcıları etkiliyor mu?
Evet, Windows sürümlerinde ve UnRAR bileşenini kullanan diğer araçlarda risk söz konusu.

2. Saldırılar başarılı oldu mu?
ESET verilerine göre hedefler ele geçirilmedi. Ancak saldırılar son derece hedef odaklıydı.

3. Açık hangi sürümlerde kapatıldı?
24 Temmuz’da beta sürümde düzeltildi, birkaç gün içinde de tam sürüm yayınlandı.

4. Bu açık nasıl istismar ediliyor?
Saldırganlar sahte CV içeren RAR dosyaları göndererek kullanıcıların dosyayı açmasını sağlıyor.

5. Ne yapmalıyım?
WinRAR’ınızı ve ilişkili bileşenleri en güncel sürüme yükseltin. Şüpheli e-postaları açmayın.

Kaynak: Bihaber.TR

Haber Gezgini

Bağımsız, yeni nesil, tarafsız haber ve haberciliğin en üst noktasında yer alan habergezgini.com ile Türkiye’nin ve dünyanın gündemini takip edebilirsiniz.