Paper Werewolf атакует Россию с использованием уязвимости нулевого дня в WinRAR
В июле специалисты BI.ZONE Threat Intelligence выявили серию атак группировки Paper Werewolf (GOFFEE), нацеленных на российские организации. Злоумышленники использовали directory traversal в архиваторе WinRAR: CVE-2025-6218 и аналогичную уязвимость нулевого дня, у которой на момент исследования отсутствовал идентификатор CVE.
- Ориентированные на шпионаж злоумышленники продолжают демонстрировать высокий уровень подготовки, активно обновляя арсенал в том числе уязвимостями нулевого дня.
- Использование архивов для доставки ВПО в целевые системы увеличивает вероятность преодоления фильтров электронной почты, поскольку подобные вложения часто встречаются в легитимной почтовой переписке.
- Несмотря на высокий уровень подготовки, злоумышленники все еще используют большое количество легко обнаруживаемых тактик, техник и процедур, поэтому ключевым для организаций остается круглосуточный мониторинг событий кибербезопасности.
Специалисты BI.ZONE Threat Intelligence обнаружили в начале июля целевую фишинговую рассылку группировки Paper Werewolf. Злоумышленники представлялись сотрудником всероссийского научно-исследовательского института и прикрепляли письмо якобы от одного из министерств. Также стоит отметить, что атакующие использовали скомпрометированный почтовый адрес поставщика мебели.
Для отслеживания факта открытия письма жертвой злоумышленники использовали в HTML‑коде фишингового письма ссылку на скрытую картинку размером 1×1 пиксель.
Во вложении фишингового письма содержался RAR-архив minprom_04072025.rar, эксплуатирующий уязвимость CVE‑2025‑6218. Данная уязвимость в WinRAR позволяет вредоносному архиву при распаковке записывать файлы за пределами целевого каталога, включая автозагрузку, что может привести к выполнению кода при входе пользователя в систему.
minprom_04072025.rar
После распаковки пользователем RAR‑архива на компьютере жертвы создается вредоносный исполняемый файл в каталоге автозагрузки %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\xpsrchvw74.exe. Также создается каталог %SYSTEMDRIVE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup, содержащий идентичные исполняемые файлы: xpsrchvw71.exe, xpsrchvw72.exe, xpsrchvw73.exe.
Ниже представлено содержимое отвлекающих документов, находящихся в данном RAR‑архиве.
письмо на СМ_(файл отображения).pdf
Шаблон_запроса (7) (11).docx
xpsrchvw74.exe
Исполняемый файл xpsrchvw74.exe представляет собой измененное приложение XPS Viewer версии 6.1.7600.16385, предназначенное для просмотра XPS‑документов. Атакующие внедрили в исполняемый файл вредоносный шелл‑код, являющийся reverse shell, который соединяется с управляющим сервером 89.110.88[.]155:8090 и предоставляет удаленный доступ к оболочке командной строки cmd.exe на компьютере жертвы. Также стоит отметить, что названия WinAPI-функций захешированы с помощью ROR 0×13.
Атака от 22.07.2025
В другой атаке Paper Werewolf специалисты BI.ZONE Threat Intelligence обнаружили вредоносный RAR‑архив Запрос_Минпромторг_22.07.rar, эксплуатирующий уязвимость нулевого дня в WinRAR по типу directory traversal.
Уязвимость связана с тем, что при создании RAR‑архива можно включить в него файл с альтернативными потоками данных, имена которых содержат относительные пути. Эти потоки могут содержать произвольную нагрузку. При распаковке такого архива либо при открытии вложенного файла прямо из архива происходит запись данных из альтернативных потоков в произвольные каталоги на диске, что представляет собой атаку типа directory traversal. Уязвимость затрагивает версии WinRAR вплоть до 7.12 включительно. Начиная с версии 7.13, данная уязвимость больше не воспроизводится.
Запрос_Минпромторг_22.07.rar
В результате открытия отвлекающего документа запрос Минпромторга РФ.pdf либо разархивирования содержимого RAR‑архива пользователем на компьютере жертвы создаются следующие файлы:
%LOCALAPPDATA%\WinRunApp.exe%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\WinRunApp.lnk
Ниже представлено содержимое отвлекающего документа, хранящегося в архиве Запрос_Минпромторг_22.07.rar.
запрос Минпромторга РФ.pdf
Также отметим, что на одном из хакерских форумов ранее появилось объявление о продаже якобы рабочего эксплоита для уязвимости нулевого дня в WinRAR по цене 80 тысяч долларов. При этом речь шла не о CVE‑2025‑6218. Это позволяет предположить, что обнаруженная нами уязвимость может быть связана с этим эксплоитом. Возможно, группировка Paper Werewolf приобрела его и доработала для проведения своих атак.
WinRunApp.exe
Исполняемый файл WinRunApp.exe является вредоносным .NET‑приложением, написанным на C# и представляющим собой загрузчик, скачивающий с сервера по ссылке полезную нагрузку в виде .NET‑сборки и запускающий ее в памяти. На момент исследования полезная нагрузка была недоступна.
После запуска загрузчик осуществляет попытку создания мьютекса. Если попытка не удалась, то загрузчик завершает свою работу. В данном случае мьютекс: Sfgjh824nf6sdfgsfwe6467jkgg3vvvv3q7657fj436jh54HGFa56.
Затем загрузчик пытается скачать полезную нагрузку по ссылке с сервера атакующих в бесконечном цикле. Если ответ сервера имеет не нулевую длину, то цикл завершается, иначе загрузчик спит определенное количество секунд, в данном случае 331, и повторяет попытку.
Загрузчик получает название компьютера и имя пользователя и отправляет их в сформированной ссылке на сервер для получения полезной нагрузки. Ссылка имеет вид:
hxxps://IndoorVisions[.]org/patriarchal/furthering/creating/flared/censured?hostname=[название_компьютера]&username=[имя_пользователя]
Для соединения с сервером загрузчик использует строку заголовка User‑Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 Edg/91.0.864.59.
Полезная нагрузка является .NET‑сборкой, которая загружается в память процесса с помощью метода Assembly.Load, а затем запускается с помощью метода Invoke. Для запуска загруженной нагрузки используются определенный класс и метод, которые заданы в конфигурационных данных загрузчика. В данном случае класс EatLanguageSubject.AnswerEndSight, метод PainGroupStep.
Атаки от 31.07.2025 и 01.08.2025
В атаках от 31.07.2025 и 01.08.2025 злоумышленники также использовали вредоносные RAR-архивы с уязвимостью нулевого дня, которая была описана ранее. В этот раз были обнаружены архивы с названиями DON_AVIA_TRANS_RU.rar и DON_AVIA_TRANS_UZ.rar, содержащие следующие файлы: три PDF‑документа, один текстовый файл, замаскированный под PDF‑документ, а в альтернативных потоках данных — LNK‑файл и исполняемый файл C#‑загрузчика.
DON_AVIA_TRANS_RU.rar
DON_AVIA_TRANS_UZ.rar
В данном случае атакующие добавили альтернативные потоки данных к каждому файлу в архиве. Таким образом, если пользователь откроет любой из отвлекающих документов либо разархивирует содержимое архива, на компьютере жертвы создадутся аналогичные файлы, рассмотренные ранее в предыдущей атаке.
Примеры содержимого отвлекающих документов Бриф компании.pdf и Hamkorlik bo‘yicha aniqlashtiruvchisavollarga javoblar.pdf представлены ниже.
Бриф компании.pdf
Hamkorlik bo‘yicha aniqlashtiruvchi savollarga javoblar.pdf
Также стоит отметить, что файлы Презентация.pdf и Presentation.pdf идентичны (совпали по хеш‑сумме) и содержат текстовые данные следующего вида.
Презентация.pdf (Presentation.pdf)
WinRunApp.exe
WinRunApp.exe по функциональным возможностям практически идентичен предыдущей версии C#‑загрузчика, рассмотренного в атаке от 22.07.2025, за исключением добавленного кода, отвечающего за запуск файла, если он существует в системе. В конфигурационных данных анализируемого образца название такого файла отсутствует.
Конфигурационные данные загрузчика:
| Мьютекс |
Global_22576733 |
| Полезная нагрузка (класс) |
HomeFunctionMarket.MomentSingKnow |
| Полезная нагрузка (метод класса) |
EffectTeacherLeave |
| URL |
|
| User-Agent |
|
| Название файла в системе |
"" |
| Интервал сна, секунд |
330 |
minprom_04072025.rar
MD5: 9a69b948e261363463da38bdbf828b14
SHA1: 40e647d61a00fd7240e54dba45ce95c5d33cae43
SHA256: fe2587dd8d9755b7b3a106b6e46519a1ce0a8191eb20821d2f957326dbf912e9
xpsrchvw.exe
MD5: 942220fc9382f44ae82061d1fc63f41e
SHA1: 7ff3d32e78c5626135a73bba4a011058f714ae86
SHA256: bf74820d40d281c28d5928b01e5b68d6caf85b5b9188bf4efb627765d708bcff
hxxps://eliteheirs[.]org/checks/brandished/dyestuffs/abbess/interrelation?4eab27f5266393a1150e7d6453c1920db480c2f88ce96708cff593e38ae8ac30
hxxps://eliteheirs[.]org/checks/brandished/dyestuffs/abbess/interrelation
hxxps://eliteheirs[.]org/crossness/outpost/autocracies/decapitations/jetsetting?b115ef3ad9cb948213f7efc4876cf67747eac173b613b425abd05dba0e306ebd
hxxps://eliteheirs[.]org/crossness/outpost/autocracies/decapitations/jetsetting
eliteheirs[.]org
89.110.88[.]155:8090
81.30.105[.]148
213.171.4[.]200
Запрос_Минпромторг_22.07.rar
MD5: 6b4d7a63aa2a8b2a5a3fbad6c8e6533e
SHA1: d3820a1248bf54ce8a3d05bf688bcd97e1c41d8e
SHA256: 28a2b98ae214376ccd549a8b0dccafad31c8b234d0b81a0e8817579566615567
DON_AVIA_TRANS_UZ.rar
MD5: eaba94b5237d2625fa38bc924e5347c4
SHA1: 6c0e52b8ed746b5b8ebef1ef2226093260659ae8
SHA256: d2c3fe8b9a4e0e5b7bcc087d52295ab30dc25b1410f50de35470383528c9d844
DON_AVIA_TRANS_RU.rar
MD5: d176b7b5040d7bb32bae4d5c3c3b6aaf
SHA1: b610ff2ad9791d17203609d747c5dfe947304591
SHA256: dfab2f25c9d870f30bbc4abb873d155cf4904ece536714fb9cd32b2e0126dfab
WinRunApp.exe
MD5: 1670035385c9031f79566c6f73fb9743
SHA1: b7bba4a216f4910f5072019bb4a2022ccf098c75
SHA256: 2446f97c1884f70f97d68c2f22e8fc1b9b00e1559cd3ca540e8254749a693106
WinRunApp.exe
MD5: 67daddd8fd8a59c8b3d40ea433efd6ff
SHA1: 23708d1fdcd7ba65c2b2fc676cee707e746a2dd9
SHA256: 236aba76d427111e8c140604ead9c4ab86264b1ae197fc26fadb33c46be94289
hxxps://indoorvisions[.]org/patriarchal/furthering/creating/flared/censured?hostname=[hostname]&username=[username]
hxxps://indoorvisions[.]org/patriarchal/furthering/creating/flared/censured
hxxps://trailtastic[.]org/glowworms/diverted/calorie/britons/parabolas?hostname=[hostname]&username=[username]
hxxps://trailtastic[.]org/glowworms/diverted/calorie/britons/parabolas
indoorvisions[.]org
trailtastic[.]org
89.110.98[.]26
94.242.51[.]73
Мьютексы:
Sfgjh824nf6sdfgsfwe6467jkgg3vvvv3q7657fj436jh54HGFa56Global_22576733
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access |
Phishing: Spearphishing Attachment |
Paper Werewolf использует вложения в фишинговые электронные письма для распространения ВПО |
|
Phishing for Information: Spearphishing Link |
Paper Werewolf использует фишинговые электронные письма, содержащие такие элементы, как пиксели отслеживания, чтобы определить, взаимодействовали ли получатели с письмом |
|
| Execution |
Command and Scripting Interpreter: Windows Command Shell |
Paper Werewolf использует reverse shell для удаленного выполнения команд в интерпретаторе |
|
Exploitation for Client Execution |
Paper Werewolf использует уязвимости в WinRAR (CVE-2025-6218 и незадокументированная уязвимость нулевого дня) для создания на компьютере жертвы вредоносных файлов и добавления их в каталог автозагрузки системы |
|
|
User Execution: Malicious File |
Жертва должна распаковать вредоносный RAR-архив или запустить содержащийся в нем PDF-файл, чтобы инициировать процесс компрометации системы |
|
| Persistence |
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Paper Werewolf использует уязвимости в WinRAR для создания в каталоге автозагрузки файлов |
| Defense Evasion |
Hide Artifacts: Hidden Window |
Paper Werewolf использует в C#‑загрузчике невидимое окно, чтобы скрыть активность, выполняемую в пользовательском интерфейсе |
|
Obfuscated Files or Information: Dynamic API Resolution |
Paper Werewolf использует ROR 13 для хеширования названий WinAPI-функций в reverse shell |
|
|
Obfuscated Files or Information: Embedded Payloads |
Paper Werewolf использует измененное приложение XPS Viewer с внедренной нагрузкой — reverse shell |
|
| Discovery |
System Information Discovery |
Paper Werewolf использует C#‑загрузчик для получения имени компьютера жертвы и его отправки в сформированной ссылке на сервер для получения полезной нагрузки |
|
System Owner/User Discovery |
Paper Werewolf использует C#‑загрузчик для получения имени пользователя и его отправки в сформированной ссылке на сервер для получения полезной нагрузки |
|
| Command and Control |
Application Layer Protocol: Web Protocols |
Paper Werewolf использует в C#‑загрузчике протокол HTTPS для загрузки зашифрованного файла полезной нагрузки с сервера |
|
Ingress Tool Transfer |
Paper Werewolf использует C#‑загрузчик собственной разработки для скачивания вредоносной полезной нагрузки с сервера |
|
|
Non-Application Layer Protocol |
Paper Werewolf использует сокеты в reverse shell для коммуникации с управляющим сервером |
Чтобы построить эффективную киберзащиту организации, важно знать, какие уязвимости эксплуатируют кластер Paper Werewolf и другие злоумышленники в реальных атаках. Поэтому мы рекомендуем использовать данные портала BI.ZONE Threat Intelligence. Он предоставляет подробную информацию об актуальных кибератаках, злоумышленниках, их тактиках, техниках, используемых инструментах и эксплуатируемых уязвимостях. Эти данные помогут проактивно защититься и быстро реагировать на возникающие инциденты кибербезопасности.
