Os espiões cibernéticos associados ao grupo de atores de ameaças Lobisomem demonstraram recursos avançados ao ignorar os filtros de segurança de email, entregando malware por meio de arquivos de arquivo aparentemente legítimos, uma tática que explora a semelhança de tais anexos na correspondência comercial.
Apesar de sua sofisticação, esses invasores continuam a confiar em táticas, técnicas e procedimentos detectáveis (TTPs), destacando a necessidade crítica de monitoramento contínuo de incidentes 24/7 em ambientes corporativos.
As campanhas de phishing aproveitam as explorações do arquivo
No início de julho de 2025, a Bi. Zone Ameak Intelligence descobriu uma campanha de phishing, onde os adversários personificaram um instituto de P&D russo, enviando e -mails de uma conta de fornecedor de móveis comprometida.
Esses e-mails incluíram um arquivo rar chamado minprom_04072025.rar, que explorou o CVE-2025-6218, um conhecido Vulnerabilidade Winrar ativando o diretório Traversal.
Essa falha permite que arquivos maliciosos sejam extraídos fora do diretório pretendido, como na pasta de inicialização, facilitando a execução automática no login do usuário.
Após a extração, o arquivo implanta um executável do Viewer XPS modificado, XPSRCHVW74.exe, incorporado com código de shell para um shell reverso que se conecta a um servidor de comando e controle (C2) em 89.110.88.155:8090.
O shellcode emprega ror13 hash para ofuscar os nomes de funções de Winapi, aumentando a evasão. Arquivos de engodo no arquivo, incluindo documentos PDFs e DOCX imitando a correspondência oficial, disfarçam ainda mais o ataque.
Com base nisso, o papel lobisomem escalou suas operações com uma vulnerabilidade de dias zero anteriormente desconhecida nas versões Winrar até 7.12, corrigida na versão 7.13.
Essa falha explora fluxos de dados alternativos (anúncios) em arquivos de arquivo, permitindo que cargas úteis arbitrárias sejam gravadas nos diretórios do sistema durante a extração ou a abertura direta de arquivos, permitindo ataques de travessia de diretório.
Em um ataque datado de 22 de julho de 2025, o arquivo rar malicioso зззрос_минпромторг_22.07.rar implantou WinRunapp.exe, um carregador .NET de sedimento C#que busca e executa uma carga útil remota em memória de C2, como CO2, como as Visions.org.
Exploração de dias zero
O carregador cria um mutex para evitar várias instâncias, entra em um loop para consultar repetidamente o C2 com detalhes da vítima (nome do host e nome de usuário) anexado aos URLs e usa seqüências de strings específicas para agentes do usuário para se misturar com tráfego legítimo.
Se for bem -sucedido, ele carrega uma montagem .NET via Assembly.Loade e chama os métodos de classes configuradas, como EatLanguagesubject.answerendsight.paingRoupStep.
Os ataques subsequentes em 31 de julho e 1 de agosto envolveram arquivos don_Avia_Trans_ru.rar e don_avia_trans_uz.rar, que incorporaram anúncios em múltiplos enganos PDFs e um Arquivo lnkimplantando uma variante WinRunapp.exe semelhante com pequenas modificações, incluindo verificações de existência de arquivo e um mutex atualizado como o Global_22576733.
De acordo com o relatórioOs dados de configuração especificam intervalos de sono de cerca de 330 segundos, garantindo a comunicação C2 persistente.
Notavelmente, um posto de fórum subterrâneo ofereceu uma exploração de dia zero de Winrar por US $ 80.000, potencialmente ligada a essa vulnerabilidade, sugerindo que o lobisomem de papel possa ter adquirido e adaptado para espionagem direcionada.
Esses incidentes destacam o foco do grupo em explorar fraquezas da ferramenta de compressão para o acesso inicial, combinando zero dias com a engenharia social.
As organizações devem priorizar o Patching Winrar, monitorar extrações anômalas de arquivo e analisar o tráfego de rede para domínios suspeitos.
A dependência de TTPs detectáveis, como pixels de rastreamento incorporado em e -mails de phishing, oferece oportunidades de detecção precoce por meio de análise comportamental e integração de inteligência de ameaças.
Indicadores de compromisso (IOCs)
| Categoria | Indicador | Hash/detalhes |
|---|---|---|
| Arquivo (CVE-2025-6218) | MINPROM_04072025.RAR | MD5: 9A69B948E261363463DA38BDBF828B14 SHA1: 40E647D61A00FD7240E54DBA45CE95C5D33CAE43 SHA256: FE2587DD8D97555B3A106B6E46519A1CE0A8191EB20821D2F957326DBF912E9 |
| IP/Domínio (CVE-2025-6218) | EliteHeirs[.]org, ips | 89.110.88.155:8090, 81.30.105.148, 213.171.4.200 |
| Arquivo (dia zero) | DON_AVIA_TRANS_UZ.RAR | MD5: EABA94B5237D2625FA38BC924E5347C4 SHA1: 6C0E52B8ED746B5B8EBEF1EF2226093260659AE8 SHA256: D2C3FE8B9A4E0E5B7BCC087D52295AB30DC25B1410F50DE35470383528C9D844 |
| URL (dia zero) | Vários caminhos | HXXPS: // INESIRAÇÕES[.]org/patriarcal/promoção/criação/alargada/censurada? nome do host =[hostname]e nome de usuário =[username] (e similar no Trailtastic[.]org) |
| Domínio/IP (dia zero) | INESIRAÇÕES[.]Org, Trailtastic[.]org, ips | 89.110.98.26, 94.242.51.73 |
| Mutex | Vários | SFGJH824NF6SDFGSFWE6467JKGG3VVVV3Q7657FJ436JH54HGFA56 Global_22576733 |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!