概要
悪名高いハッキンググループAPT-C-08(別名BITTER)が、WinRARの深刻なディレクトリトラバーサル脆弱性(CVE-2025-6218)を悪用し、南アジアの政府機関に対する高度な攻撃を展開していることが確認されました。この動きは、脅威アクターの能力における懸念すべき進化を示しており、この容易に悪用可能な欠陥を利用して機密システムに侵入し、機密情報を窃取しています。
APT-C-08は、南アジアの政府機関との関連が確認されている高度な持続的脅威グループです。この組織は、南アジアおよび周辺地域の政府、海外機関、大学、軍事産業複合体を一貫して標的としてきました。彼らの主な目的は、強い政治的動機に駆られた機密情報の窃取です。このグループは、多様な攻撃ベクトルと、悪意のある文書を開かせたり有害なペイロードをダウンロードさせたりするソーシャルエンジニアリング戦術に特化した、洗練された手口を駆使します。
WinRARの脆弱性(CVE-2025-6218)の詳細
セキュリティ研究者は最近、APT-C-08がWinRARバージョン7.11以前に影響を与えるディレクトリトラバーサル脆弱性CVE-2025-6218を悪用していることを示すサンプルを捕捉しました。
- MD5ハッシュ: f6f2fdc38cd61d8d9e8cd35244585967
- ファイル名: Provision of Information for Sectoral for AJK.rar
- ファイルサイズ: 51.4 KB (52,674 bytes)
- 説明: 脆弱性の悪用
- 参照CVE: CVE-2025-6218
これは、同グループがこの特定の欠陥を武器化した最初の事例です。この脆弱性は悪用が容易であり、ユーザーがWinRARのインストールを更新しないことが広範にわたっているため、脅威アクターにとって理想的な攻撃対象となっています。このエクスプロイトの深刻さとアクセシビリティを考慮し、セキュリティチームは迅速な脅威軽減を可能にするため、公開を優先しました。
攻撃の手口
攻撃は、「Provision of Information for Sectoral for AJK.rar」(MD5: f6f2fdc38cd61d8d9e8cd35244585967)という名の悪意のあるRARアーカイブから始まります。この51.4 KBの圧縮ファイルは、CVE-2025-6218の脆弱性を悪用してファイルシステムの境界を突破し、攻撃者が不正なディレクトリに悪意のあるファイルを展開することを可能にします。
この脆弱性は、ファイル抽出時の不適切なパス正規化に起因します。WinRARの抽出プロセスは、パス区切り文字の前の文字、特にスペースやドットをチェックしますが、開発者はドットドット表記の後にスペースが含まれるシナリオを見落としていました。攻撃者は、この見落としを悪用し、「\.. \」のような特別に細工されたパスを構築することで、セキュリティチェックを回避し、ディレクトリトラバーサルを可能にしました。
悪用を最大化するため、脅威アクターはアーカイブ内に2つの悪意のあるファイルパスを埋め込みました。「/.. /.. /AppData/Roaming/Microsoft/Templates/Normal.dotm」と「/.. /.. /.. /AppData/Roaming/Microsoft/Templates/Normal.dotm」です。成功した悪用を可能にする重要な詳細は、「..」表記の後に戦略的に配置されたスペースです。
脆弱なWinRARバージョンを使用して悪意のあるアーカイブを抽出すると、攻撃は悪意のあるNormal.dotmファイル(MD5: 4bedd8e2b66cc7d64b293493ef5b8942)をMicrosoft Wordのテンプレートディレクトリ(C:\Users\[username]\AppData\Roaming\Microsoft\Templates)に展開します。この19.9 KBのマクロ有効テンプレートは、被害者がシステム上でWord文書を開くたびに自動的にロードされ、追加のユーザー操作なしに永続的な悪意のあるコード実行を保証します。
セキュリティ研究者は、「Weekly AI Article.rar」(MD5: 84128d40db28e8ee16215877d4c4b64a)という圧縮ファイルを使用した第2の攻撃バリアントも特定しました。この596 KBのアーカイブは、同様の悪用技術を使用し、tapeqcqoptions[.]comからコマンドをダウンロードして実行する別の悪意のあるNormal.dotm(MD5: f8b237ca925daa3db8699faa05007f12)を展開します。
悪意のあるペイロードの機能
展開されたNormal.dotmには、リモート接続を確立し、追加の攻撃コンポーネントをダウンロードするように設計された悪意のあるマクロが含まれています。このマクロは、ネットワークコマンドを実行してリモートディレクトリをローカルシステムにマッピングし、特に攻撃者が制御するインフラストラクチャから「winnsc.exe」を標的として実行します。
winnsc.exeダウンローダーは、ホスト名、ユーザー名、オペレーティングシステムバージョンなどのシステム偵察データを収集して動作します。この情報は、HTTP POSTリクエストを使用してコマンド&コントロールサーバー(teamlogin.esanojinjasvc[.]com)に送信されます。サーバーからの応答に基づいて、マルウェアはAPT-C-08の操作に一般的に関連するC#トロイの木馬を含む、後続のペイロードを取得して実行します。
影響と推奨事項
APT-C-08がCVE-2025-6218を採用したことは、同グループの継続的な進化と技術的洗練度を示しています。ディレクトリトラバーサルの悪用と永続的なテンプレートベースの実行の組み合わせは、従来のセキュリティ制御を回避できる非常に効果的な攻撃チェーンを生み出します。特に南アジアの政府機関は、これらのキャンペーンによるリスクが高まっています。
セキュリティチームは、WinRARをCVE-2025-6218を修正するバージョンに更新することを最優先する必要があります。ユーザーは、未知のソースからの圧縮ファイル、特に電子メールやファイル共有プラットフォーム経由で配信されるRARアーカイブを扱う際には、細心の注意を払う必要があります。
堅牢な電子メールセキュリティフィルタリング、エンドポイント検出および応答ソリューション、ユーザーセキュリティ意識向上トレーニングを導入することで、悪用成功の試みを大幅に減らすことができます。
Microsoft Wordテンプレートの変更によって達成されるこの攻撃の永続的な性質は、組織がテンプレートディレクトリの不正な変更を監視し、不正なマクロ実行を防ぐためにアプリケーションの許可リストを実装することを要求します。重要なディレクトリの定期的なセキュリティ監査と強化されたログ記録は、攻撃者がスパイ活動の目的を達成する前に侵害の兆候を検出できます。