RomCom Hacking Grubu ve WinRAR Açığında Kullanılan Sıfır Gün Saldırıları
Son dönemlerde siber güvenlik dünyasında dikkat çeken bir gelişme, Rus kökenli ‘RomCom’ hacking grubunun WinRAR yazılımındaki CVE-2025-8088 olarak kaydedilen bir yol traversi açığını kullanarak gerçekleştirdiği sıfır gün saldırılarıdır. Bu rapor, ESET tarafından yayınlandı ve saldırının detaylarını aktardı.
RomCom, daha önce Storm-0978 ve Tropical Scorpius isimleriyle de bilinen bir siber casusluk tehdidi grubudur. Grubun geçmişinde, Firefox ve Microsoft Office gibi popüler yazılımlarda da sıfır gün açığı kullanarak gerçekleştirdiği saldırılar bulunmaktadır. Örneğin, CVE-2024-9680 ve CVE-2023-36884 gibi açıkları istismar etmişlerdir.
Açığın Keşfi ve Düzeltme Süreci
ESET, 18 Temmuz 2025 tarihinde RomCom’un WinRAR’daki bu belirsiz yol traversi açığını istismar ettiğini tespit etti ve bu durumu WinRAR ekibine bildirdi. ESET‘in açıklamalarına göre, bu açığın analizi sonucunda CVE-2025-8088 olarak bilinen bir yok olma durumunu ortaya çıkardı. Açığın sebebi, alternatif veri akışları (ADS) kullanılarak gerçekleştirilen yol traversidir. WinRAR, bu açığın bildiriminden itibaren 30 Temmuz 2025 tarihinde 7.13 sürümü ile bir düzeltme yayınladı. Ancak, bu düzeltmenin beraberinde aktif bir istismar durumunun olup olmadığına dair herhangi bir bilgi verilmedi.
ESET, BleepingComputer’a yaptığı açıklamada, bu kötü niyetli aktivitelerin, kullanıcıların özel bir arşivi açtığında tehlikeli yürütülebilir dosyaların otomatik bir şekilde çalışacağı yolları çıkarmak için kullanıldığına dikkat çekti. Bu açığın, bir ay önce açıklanan CVE-2025-6218 yolu traversi açığı ile benzerlik taşıdığı belirtilmektedir.
Kötü Niyetli RAR Arşivlerinin Yapısı
ESET’in raporuna göre, kötü niyetli RAR arşivleri pek çok gizli ADS yüklemesi içermektedir. Bu yüklemeler, kötü niyetli bir DLL dosyasını ve Windows kısayolunu barındırmakta ve arşiv açıldığında, belirli bir klasöre çıkartılmaktadır. Çoğu ADS girişi hatalı yollar için tasarlanmış olup, bu durum ESET tarafından, görünüşte zararsız olan WinRAR uyarıları üretmek için kasıtlı olarak eklendiği düşünülmektedir. Böylece kötü niyetli DOS, EXE ve LNK dosya yolları dosya listesinin derinliklerine gizlenmiştir.
Bu kötü niyetli yüklemeler, %TEMP% veya %LOCALAPPDATA% dizinlerine yerleştirilirken, Windows kısayolları ise Windows Başlangıç dizinine bırakılmakta ve bu sayede kullanıcının her oturum açışında çalıştırılmaktadır.
Saldırı Zincirleri ve Kötü Niyetli Yazılımlar
ESET, RomCom’un çeşitli kötü niyetli yazılım ailelerini dağıttığı üç ayrı saldırı zincirini belgeledi:
Mythic Agent – Updater.lnk, msedge.dll‘yi bir COM resmi kaydı konumuna ekler. Bu süreç, AES şifreleme kodunu deşifre eder ve yalnızca sistemin etki alanı sabitlenmiş bir değerle eşleştiğinde çalışır. Elde edilen kod, Mythic agent’ı başlatır ve bunu takiben, C2 iletişimi, komut yürütme ve yük dağıtımı sağlanır.
SnipBot – Display Settings.lnk, ApbxHelper.exe‘yi çalıştırır. Bu, Putty CAC‘nin hacklenmiş bir versiyonudur ve geçersiz bir sertifikaya sahiptir. Kullanıcı, 69’dan fazla önceki belgeyi kontrol ettikten sonra, daha fazla yük indiren şifreleme kodunu deşifre eder.
MeltingClaw – Settings.lnk, Complaint.exe (RustyClaw)’ı tetikler. Bu işlem, MeltingClaw DLL’sini indirip, saldırganın altyapısından daha fazla kötü niyetli modül indirir ve çalıştırır.
Siber Tehditlerin Artışı ve Önlemler
Rus siber güvenlik şirketi Bi.Zone, Paper Werewolf adında başka bir aktivite grubunu, CVE-2025-8088 ve CVE-2025-6218 açıklarını kullanarak saldırılar gerçekleştirirken gözlemlediklerini rapor etti. ESET, RomCom saldırılarının tam etkinlik göstergelerini GitHub depo sayfasında yayımlamıştır.
2023 yılında Microsoft, Windows’a yerel RAR desteği eklemiş olsa da, bu özellik yalnızca yeni versiyonlarda mevcut olup, WinRAR’ın sunduğu kadar kapsamlı değildir. Bu nedenle, birçok profesyonel kullanıcı ve organizasyon, arşiv yönetimi için WinRAR’a bağımlı kalmaktadır. Bu durum, yazılımı siber saldırganlar için çekici bir hedef haline getiriyor.
WinRAR kullanıcılara, CVE-2025-8088’in kötü niyetli istismarı hakkında bilgi verilmediğini ve sadece yamanın geliştirilmesi için gereken teknik bilgilerin paylaşıldığını bildirmektedir. WinRAR’ın otomatik güncelleme özelliği olmadığı için, kullanıcıların en son sürümü buradan manuel olarak indirip yüklemeleri gerekmektedir.
