Det har identifierats en path-traversal-sårbarhet i WinRAR som ha fått CVE‑2025‑8088. Gäller Windows-versioner av WinRAR före 7.13. Genom att utnyttja funktionen för alternativa dataströmmar (ADS) kan angripare inkludera skadlig kod i .rar-arkiv som vid extraktion placeras i oavsedd katalog, såsom Start-mappen i Windows, vilket resulterar i automatisk uppstart av malware efter inloggning. NIST anger att denna sårbarhet möjliggör godtycklig kodexekvering och påverkar WinRAR-verktyg inklusive komponenten UnRAR.dll och cli-versioner.
Antivirus-företaget ESET upptäckte tidigt utnyttjandet av zero-day sårbarheten i juli 2025. Mellan 18 och 21 juli skickades målinriktade spear phishing-mejl till företag inom finans-sektor, tillverkning, försvar och logistik främst i Europa och Kanada. Rar-arkivfilerna var presenterade som jobbcv:n men innehöll dolda skadliga ADS-filer som i sin tur distribuerade DLL- och LNK-filer, samt installerade bakdörrar i samband med autostart. De skadliga komponenterna inkluderade SnipBot‑variant, RustyClaw och Mythic Agent, ofta kopplade till den rysk‑allierade hackergruppen RomCom (även kallad Storm‑0978, UNC2596 med flera). Hackergruppen anses ha stark teknisk kapacitet och ett geopolitisk driv som innefattar spioneri och cyberbrottslighet.
Utöver RomCom har även en annan aktör kallad Paper Werewolf, enligt BI.ZONE, använt samma sårbarhet mot mål inom Ryssland. Båda grupperna kan ha fått tillgång till exploiten via ett nätforum där den låg ute till salu för cirka 762000 SEK i slutet av juni:
Sårbarheten har fått hög allvarlighetsgrad, med CVSS-värde hela på 8,4. WinRAR släppte en säkerhetskorrigering i version 7.13 den 30 juli 2025 efter omedelbar kontakt från ESET, men eftersom programmet saknar automatisk uppdatering måste användare manuellt installera den nya versionen.
Kanske dags för WinRAR att börja med någon annan form av licensmodell som inkluderar automatiska uppgraderingar 😆
Här har ESET samlat ett antal IoC:er gällande RomCom:
Google släppte igår en säkerhetsuppdatering till webbläsaren Chrome på grund av aktivt utnyttjande av två nya zero-days som fått CVE-2021-37975 och CVE-2021-37976.
CVE-2021-37976 är en bugg som orsakar informationsläckage och underlättar utnyttjande av sårbarheten nedan. Upptäcktes av Clément Lecigne från Googles Threat Analysis Group (TAG)
Även så har följande sårbarhet identifierats som allvarlig men där inget aktivt utnyttjande identifierats:
CVE-2021-37974 är också en use after free i Safe Browsing.
Samt så har minst en till säkerhetsbugg åtgärdats där fuzzing-tester identifierat denna internt hos Google. Så totalt innehåller denna uppdatering fyra säkerhetsfixar.
Och det var inte så många dagar sedan som ytterligare två sårbarheter åtgärdades av Google där också dessa utnyttjades aktivt. Den gången rörde det sig om CVE-2021-30632 och CVE-2021-30633 där ena va dessa var en sårbarhet i IndexedDB API:et.
För att kontrollera om du har installerat senaste versionen av Chrome så kan du skriva in följande sökväg i adressfältet: chrome://settings/help och då bör du se något i stil med följande när du installerat senaste uppdateringen och blivit ombedd att starta om webbläsaren:
Den versionen som släpptes igår till Windows, Linux och macOS har versionsnummer 94.0.4606.71. Och vill du läsa mer om denna stable-channel update så kan du göra det här.
Jag skrev detta inlägg på LinkedIn men tänkte dela med mig av denna information även här:
Zeroday-förmedlaren Zerodium har uppdaterat sin prislista. Intressant är att priserna kopplade till Android ökat samt Apple iOS minskat. Vad beror detta på? 🤔
Några av mina gissningar:
✅ Googles arbete med att höja säkerheten i Android har gett utdelning
✅ Större efterfrågan från Zerodiums kunder som vill ta sig in i Android-telefoner
✅ Fler typer av uppkopplade enheter använder Android. Inte bara mobiltelefoner
✅ Det finns redan många iOS-exploits på svarta marknaden
Enligt många säkerhetsforskare var Stuxnet ett av de första och mest uppmärksammade cybervapnet. Resurserna som behövdes för att utveckla Stuxnet och dess olika delar är troligtvis något som enbart en nation har: Flertalet programspråk, mängder av moduler, flertalet zero-days, kunskap om urananrikningsanläggningen Natanz centrifuger och stulna certifikat för att nämna några delar som gör att det troligtvis ligger en stat bakom.
Leveransdelen
Denna del av cybervapenet gör att den träffar sitt mål. Eller når rätt klient, hårdvara eller nätverk. Leveransen kan ske via E-post, USB-minne, CD-skiva eller fysiskt ansluta mot den server, klient, TV eller liknande. Vilket bl.a Vault7 läckorna från CIA visade på. Inte helt ovanligt att HUMINT- och SIGINT -resurser nyttjas.
Leveransdelen kan också ske i form av ett implantat som installeras när utrustningen skickas ut till kund. För att nå sitt slutgiltiga mål som kanske är längre in i nätverket kan även zero-days användas eller kod för att detektera och ta sig förbi airgaps eller luftgap som det också kallas. Nätverk som är känsliga och inte anslutna till internet exempelvis.
Verkansdelen
Verkansdelen tillgodoser att målet med cybervapnet uppnås. Det kan vara att påverka en process i ett SCADA-system eller förstöra vitala delar i samhällskritiska system. Även kan detta vara att exfiltrera känslig information från målsystemet.
Kommunikationsdelen
Denna del är inte alltid nödvändig men gör det möjligt att via ett unikt ID ringa hem och meddela att cybervapnet har nått sitt mål eller utfört ett delmål. Kommunikationsdelen är också viktig om cybervapnet ligger dolt under en längre tid och ska aktivera verkansdelen på ett givet kommando.
För att försvåra upptäckt via nätverksforensik och IDS:er (intrångsdetekteringssystem) kan populära sajter såsom Dropbox, Twitter.com eller Instagram användas, givetvis krypterad med TLS.
Steganografi där meddelanden exfiltreras med hjälpa av bilder har även observerats samt kommunikation mot IP-adresser där satellitlänk används och antagonisten haft möjlighet att läsa av kommunikationen med hjälp av SIGINT (signalspaning) eller annan utrustning.
Om kommunikationsdelen använder redan befintlig infrastruktur för att uppdatera mjukvara eller kontrollera om nya versioner finns tillgängliga så är detta också svårt att detektera (se källa 4 nedan).
Kommunikationsdelen kan också användas för att ladda hem och aktivera nya moduler, droppers etc.
Stealth-mode
Det finns många sätt att försöka undgå upptäckt. Jag har tagit upp några sätt här på bloggen tidigare såsom ”Living-off-the-land” där komponenter som redan finnes i systemet återanvänds för andra syften.
En av de äldsta och vanligaste förekommande metoderna är obfuskering eller kryptering. Även kan relativt enkla saker såsom modularitet göra att det är svårt att se helheten i cybervapnet, exempelvis kan sniff-funktioner ligga i en modul, keylogger i en modul osv.
Även så finns det något som heter environmental keyed payloads där en modul kan vara krypterad med en nyckel som bara återfinnes i målnätverket eller systemet.
En annan viktig aspekt är OPSEC för de som utvecklar cybervapen. För allt lämnar spår och något som blir vanligare och vanligare är falskflaggning eller ”false flag”. Spåren kanske ser ut att peka mot ett land men kan i själva verket vara utvecklat av ett helt annat: Språk, tidzoner osv som kan ändras.
Persistens
Ibland så ligger verkansdelen enbart i enhetens RAM-minne och försvinner således om enheten krashar eller startar om. Men som vanligast så vill den som skapat cybervapnet att det ska ligga kvar under en längre tid och då finns det otroligt många sätt att gömma sig.
Jag gjorde denna video för ett tag sedan då jag går igenom 10 olika sätt att lägga in bakdörrar:
En skillnad mellan exempelvis WannaCry och ett cybervapen är att cybervapnets målsättning enbart är att propagera inom ett mindre område. Det kan röra sig om en enskild organisation eller nätverk. Med en mindre spridning blir också en eventuell detektion svårare.
Propagering kan dock vara ett måste som jag skrev under leveransdelen så kanske det finns luftgap mellan processnätverket/hemliga nätverket och internet.
Upprensning
Den eller de aktörer som lägger resurser på att utveckla ett cybervapen vill gärna inte bli upptäckt. När uppdraget är slutfört ska vapnet radera sig själv, även kan det finnas en inbyggd räknare som automatiskt ser till att radering genomförs efter exempelvis 12 månader.
Ett cybervapen kan även innehålla zero-days som utnyttjar sårbarheter och dessa vill även antagonisten radera alla bevis om, för då kan de använda sårbarheten mot fler mål.
Gillar du detta blogginlägg? Bli gärna månadsgivare via Patreon:
