はじめに
WinRARにおける深刻なパス横断の脆弱性「CVE-2025-8088」が、国家支援型の組織と金銭目的のサイバー犯罪者の双方によって、依然として活発に悪用されていることが判明しました。この脆弱性は、初期アクセスを確立し、様々な悪意のあるペイロードを配信するために利用されています。
脆弱性の詳細と悪用手口
この脆弱性は、WinRARがAlternate Data Streams (ADS) を悪用して悪意のあるファイルを任意の場所に書き込むことを可能にするパス横断の欠陥です。攻撃者は過去に、Windowsのスタートアップフォルダにマルウェアを配置し、システム再起動後も永続的に活動させるためにこの手口を利用してきました。
Google Threat Intelligence Group (GTIG) の報告によると、エクスプロイトチェーンはしばしば、アーカイブ内のデコイファイルのADS内に悪意のあるファイルを隠蔽します。通常、ユーザーはアーカイブ内でPDFなどのデコイ文書を表示しますが、その際、隠されたペイロードを含む悪意のあるADSエントリーも同時に存在します。
WinRARがこれらのファイルを開く際、ディレクトリ横断を利用してADSペイロードが展開され、多くの場合、ユーザーのログイン時に実行されるLNK、HTA、BAT、CMD、またはスクリプトファイルがドロップされます。
悪用者と攻撃キャンペーン
この脆弱性の悪用は、サイバーセキュリティ企業ESETが2025年8月初旬に発見・報告し、ロシア系のグループRomComがゼロデイ攻撃で悪用していたことが明らかになりました。GTIGの報告では、悪用は2025年7月18日という早い時期から始まり、現在も続いているとのことです。
国家支援型アクターの活動例:
- UNC4895 (RomCom/CIGAR): ウクライナの軍事部隊を標的としたスピアフィッシングを通じて、NESTPACKER (Snipbot) を配信。
- APT44 (FROZENBARENTS): 悪意のあるLNKファイルとウクライナ語のデコイを使用して、後続のダウンロードを実行。
- TEMP.Armageddon (CARPATHIAN): スタートアップフォルダにHTAダウンローダーをドロップ(2026年まで活動継続中)。
- Turla (SUMMIT): ウクライナ軍をテーマにしたSTOCKSTAYマルウェアスイートを配信。
- 中国関連アクター: 追加ペイロードをダウンロードするBATファイルとしてPOISONIVYをドロップ。
また、金銭目的のアクターもWinRARのパス横断の欠陥を悪用し、XWormやAsyncRATといった一般的なリモートアクセスツールや情報窃取型マルウェア、Telegramボット制御のバックドア、Chromeブラウザ用の悪意のあるバンキング拡張機能を配布しているとGoogleは観測しています。
エクスプロイトの供給源と市場
これらの脅威アクターは、昨年7月にWinRARエクスプロイトを宣伝した「zeroplayer」というエイリアスを持つサプライヤーなど、専門のサプライヤーから動作するエクスプロイトを調達していると考えられています。
Googleは、これがエクスプロイト開発のコモディティ化を反映しており、サイバー攻撃のライフサイクルにおいて極めて重要であるとコメントしています。これにより、攻撃者にとっての摩擦と複雑さが軽減され、未パッチのシステムを短期間で標的にすることが可能になっています。
影響と対策の重要性
この状況は、ゼロデイ脆弱性が発見されても迅速なパッチ適用と警戒がなければ、広範囲にわたる深刻な脅威に繋がりうることを示しています。ユーザーはソフトウェアを常に最新の状態に保ち、不審なファイルやアーカイブを開かないよう最大限の注意を払う必要があります。