В Узбекистане зафиксирована волна кибератак через WinRAR

В период с июля по август текущего 2025 года, ряд организаций в Узбекистане и Российской Федерации подвергся целенаправленным кибератакам. Ответственность за инциденты, по данным компании Bi.zone, специализирующейся на вопросах кибербезопасности, лежит на хакерской группировке, известной как Paper Werewolf («Бумажный оборотень»).

Злоумышленники использовали фишинговые рассылки, содержащие вредоносные архивы в формате RAR. Эксплуатируя уязвимости популярного архиватора WinRAR, они получали возможность для установки несанкционированного программного обеспечения на компьютеры жертв. Этот метод атаки позволил киберпреступникам не только использовать технические бреши в программном обеспечении, но и повысить вероятность обхода систем фильтрации электронной почты. Как пояснил руководитель отдела Threat Intelligence в Bi.zone Олег Скулкин, вложения в виде архивов являются стандартной практикой в деловой переписке, что снижает бдительность получателей и систем безопасности.

Одним из задокументированных случаев стала атака на российского производителя специального оборудования. В данном инциденте было использовано фишинговое письмо, замаскированное под официальное сообщение от государственного ведомства. Внутри прикрепленного архива, помимо файлов, имитирующих служебные документы, находилась модифицированная версия легитимной программы XPS Viewer. Внедренный в нее вредоносный код предоставлял атакующим удаленный доступ к зараженной системе и возможность выполнения команд.

Согласно апрельским отчетам «Лаборатории Касперского», деятельность группировки Paper Werewolf ранее была направлена на предприятия телекоммуникационного сектора, строительные и энергетические компании, а также средства массовой информации.

Эксперты отмечают, что популярность WinRAR делает его привлекательной мишенью для кибершпионажа. По данным Bi.zone, почти 80% компаний используют данный архиватор в своих рабочих процессах, а на корпоративных устройствах под управлением Windows его доля приближается к 100%. Злоумышленники активно использовали уязвимость, известную как CVE-2023-38831, которая позволяет выполнять произвольный код при открытии пользователем безобидного на вид файла в специально созданном архиве.

Уязвимость CVE-2023-38831, использованная в атаках, была связана с особенностью обработки операционной системой Windows файлов, в названиях которых содержатся пробелы, в сочетании с логической ошибкой в самом WinRAR. Это позволяло злоумышленникам маскировать исполняемый скрипт под обычный документ или изображение.