Целевые атаки на госорганы России: хакеры используют опасную уязвимость в WinRAR

Атака начинается с получения сотрудником целевой организации письма, содержащего архивный файл с расширением .rar. Внутри архива находится исполняемый файл. После того как пользователь открывает этот файл, срабатывает уязвимость в самом приложении WinRAR. Речь идёт об уязвимости, идентифицированной как BDU:2025-09597. Её суть заключается в неверном ограничении пути к каталогу с ограниченным доступом. Согласно общепринятой шкале оценки CVSS 3.1, данная уязвимость имеет высокий уровень опасности. Эксплуатация этой бреши позволяет злоумышленникам выполнять произвольный код на компьютере жертвы, что открывает путь для полного контроля над системой.

Основной целью атакующих, по всей видимости, являются государственные структуры и критически важные объекты. Следовательно, основная задача - получение доступа к конфиденциальной информации или нарушение нормального функционирования этих систем. Подобные кампании часто ассоциируются с деятельностью сложных и хорошо финансируемых групп, иногда называемых APT (продвинутая постоянная угроза).

В связи с выявленной угрозой специалисты настоятельно рекомендуют в первую очередь установить официальное обновление для программного обеспечения WinRAR. Этот патч устраняет уязвимость и является самым эффективным способом защиты. Установку обновлений следует проводить в строгом соответствии с методиками тестирования и оценки, разработанными ФСТЭК России. Такие меры необходимы для обеспечения совместимости и отсутствия сбоев в работе критически важных систем.

Однако на практике установка обновлений на некоторые специализированные или изолированные системы может быть временно невозможна. Для таких случаев эксперты предлагают комплекс дополнительных защитных мер. Во-первых, необходимо строго использовать средства антивирусной защиты для обязательной проверки всех файлов, полученных из непроверенных или недоверенных источников. Во-вторых, критически важно задействовать возможности SIEM-систем (систем управления событиями и информацией о безопасности). Эти системы позволяют централизованно отслеживать и анализировать сетевую активность, оперативно выявляя аномалии и попытки эксплуатации уязвимостей.

Ещё одной ключевой рекомендацией является использование замкнутой программной среды, так называемой песочницы (sandbox), для открытия и анализа любых подозрительных файлов, включая архивы. Это позволяет изолировать потенциально опасный код и предотвратить его воздействие на основную операционную среду и корпоративную сеть. Кроме того, постоянное повышение осведомлённости сотрудников о фишинговых угрозах остаётся фундаментальным элементом защиты. Пользователи должны быть обучены не открывать вложения и не переходить по ссылкам в письмах от неизвестных отправителей.

Данный инцидент в очередной раз подчёркивает, что даже широко распространённое и, казалось бы, простое программное обеспечение может стать ахиллесовой пятой всей системы безопасности. Атаки на WinRAR уже имели место в прошлом, что делает регулярное обновление этого инструмента обязательным правилом. Ситуация также демонстрирует эволюцию тактик злоумышленников, которые целенаправленно ищут уязвимости в повсеместно используемом софте для атак на стратегические объекты. В текущих условиях оперативное внедрение патчей и многоуровневая защита становятся не просто рекомендацией, а строгой необходимостью для обеспечения национальной кибербезопасности.

SHA256

• 8082956ace8b016ae8ce16e4a777fe347c7f80f8a576a6f935f9d636a30204e7
• a25d011e2d8e9288de74d78aba4c9412a0ad8b321253ef1122451d2a3d176efa
• a99903938bf242ea6465865117561ba950bd12a82f41b8eeae108f4f3d74b5d1