Rusya Bağlantılı RomCom Grubu WinRAR Açığını Hedef Aldı

Avrupa ve Kanada’daki şirketler tehlikede: WinRAR kullanıcıları güncelleme yapmalı! Rusya Bağlantılı RomCom Grubu WinRAR Açığını Hedef Aldı!

Siber güvenlik araştırmacıları, WinRAR’ın Windows sürümlerinde kritik bir sıfır gün açığı keşfetti. ESET’in aktardığına göre bu güvenlik açığı, Rusya bağlantılı RomCom adlı APT grubu tarafından istismar edilerek Avrupa ve Kanada’daki finans, savunma, lojistik ve üretim şirketleri hedef alındı.

18–21 Temmuz 2025 tarihleri arasında yürütülen saldırılarda, spearphishing (hedefli kimlik avı) yöntemleriyle hazırlanmış kötü amaçlı RAR dosyaları kullanıldı. Siber casusluk amacı taşıyan operasyon, RomCom grubunun bugüne kadar yakalanan üçüncü sıfır gün istismarı oldu.

WinRAR açığı nasıl keşfedildi?

ESET araştırmacıları Peter Strýček ve Anton Cherepanov, olağan dışı yollar içeren bir RAR dosyasında msedge.dll adında kötü amaçlı bir DLL tespit etti. Yapılan analizde, WinRAR’ın 7.12 sürümü dahil olmak üzere o dönemde kullanılan versiyonların kritik bir açık barındırdığı belirlendi.

• 24 Temmuz’da WinRAR geliştiricileri bilgilendirildi.

• Aynı gün beta sürümde açık kapatıldı.

• Kısa süre sonra tam sürüm yayımlandı.

ESET, tüm kullanıcıların WinRAR ve ilişkili bileşenlerini en güncel sürüme yükseltmesini tavsiye ediyor.

CVE-2025-8088 açığı nasıl çalışıyor?

CVE-2025-8088 olarak kayıt altına alınan açık, “yol geçiş güvenlik zafiyeti” olarak tanımlanıyor.

• Yöntem: Alternatif veri akışlarının kullanılması.

• Amaç: Masum görünen arşivler üzerinden sisteme sızmak.

• Yem: Spearphishing e-postalarında “CV dosyası” gibi görünen ekler.

Her ne kadar saldırıların başarılı olduğu raporlanmasa da, saldırganların önceden keşif yaptığı ve son derece hedefli e-postalar kullandığı belirtildi.

RomCom grubunun geçmişi

RomCom (Storm-0978, Tropical Scorpius veya UNC2596 olarak da bilinir), uzun süredir hedefli casusluk operasyonları yürütüyor. Grup, daha önce de Ukrayna Dünya Kongresi üzerinden Avrupa’daki hükümet ve savunma kurumlarını hedef almıştı.
Kullandığı araçlar arasında SnipBot varyantları, RustyClaw ve Mythic ajanları bulunuyor. Bu zararlı yazılımlar kurbanın sistemine sızarak komut çalıştırma, modül indirme ve uzun vadeli casusluk imkanı sağlıyor.

📊 Özet Tablo: RomCom – WinRAR Sıfır Gün İstismarı

❓ Sıkça Sorulan Sorular (SSS)

1. WinRAR’daki açık tüm kullanıcıları etkiliyor mu?
Evet, Windows sürümlerinde ve UnRAR bileşenini kullanan diğer araçlarda risk söz konusu.

2. Saldırılar başarılı oldu mu?
ESET verilerine göre hedefler ele geçirilmedi. Ancak saldırılar son derece hedef odaklıydı.

3. Açık hangi sürümlerde kapatıldı?
24 Temmuz’da beta sürümde düzeltildi, birkaç gün içinde de tam sürüm yayınlandı.

4. Bu açık nasıl istismar ediliyor?
Saldırganlar sahte CV içeren RAR dosyaları göndererek kullanıcıların dosyayı açmasını sağlıyor.

5. Ne yapmalıyım?
WinRAR’ınızı ve ilişkili bileşenleri en güncel sürüme yükseltin. Şüpheli e-postaları açmayın.

Kaynak: Bihaber.TR