概要

Googleは、WinRARの重要なセキュリティ脆弱性であるCVE-2025-8088が、国家支援型および金銭目的の複数の脅威アクターによって活発に悪用されていることを明らかにしました。この脆弱性は2025年7月にパッチが適用されたものですが、脅威アクターは初期アクセスを確立し、多様なペイロードを展開するためにこの脆弱性を継続的に悪用しています。

脆弱性の詳細と攻撃手法

問題となっている脆弱性CVE-2025-8088（CVSSスコア: 8.8）は、2025年7月30日にリリースされたWinRARバージョン7.13で修正されました。この脆弱性はパス・トラバーサル欠陥であり、攻撃者は悪意のあるアーカイブファイルを作成することで任意のコード実行を可能にします。典型的な攻撃チェーンでは、悪意のあるファイルをデコイファイル（おとりファイル）の代替データストリーム（ADS）内に隠し、ペイロードをWindowsのスタートアップフォルダなどの特定のパスに展開します。これにより、ユーザーが再起動後にマシンにログインすると、自動的にマルウェアが実行されます。

主要な脅威アクターと攻撃事例

• RomCom（CIGARまたはUNC4895）: ESETの報告によると、この脅威グループは2025年7月18日にはゼロデイ脆弱性としてこの脆弱性を悪用し、SnipBot（NESTPACKER）マルウェアの亜種を配信していました。
• ロシア関連の脅威アクター:
  • Sandworm（APT44、FROZENBARENTS）: ウクライナ語のファイル名を持つデコイファイルと、さらなるダウンロードを試みる悪意のあるLNKファイルを活用。
  • Gamaredon（CARPATHIAN）: ウクライナ政府機関を標的に、セカンドステージのダウンローダーとして機能するHTML Application（HTA）ファイルを含む悪意のあるRARアーカイブを使用。
  • Turla（SUMMIT）: ウクライナの軍事活動やドローン運用に関する誘引を使い、STOCKSTAYマルウェアスイートを配信。
• 中国を拠点とするアクター: Windowsスタートアップフォルダにドロッパーをダウンロードするバッチスクリプトを介して、Poison Ivyを配信。
• 金銭目的の脅威アクター: 商品化されたRAT（Remote Access Trojans）や情報窃取型マルウェア、Telegramボット制御のバックドア（AsyncRAT、XWormなど）を商用ターゲットに展開。
• ブラジルを標的としたサイバー犯罪グループ: 2つのブラジル系銀行サイトのページにJavaScriptを注入し、フィッシングコンテンツを提供して認証情報を盗む悪意のあるChrome拡張機能を配信。

広範な悪用の背景

この脆弱性の広範な悪用は、WinRARのエクスプロイトが数千ドルで宣伝される活発なアンダーグラウンドエコノミーの結果であると評価されています。「zeroplayer」というサプライヤーが、CVE-2025-8088の公開につながる数週間でWinRARエクスプロイトを販売していました。これは、攻撃ライフサイクルのコモディティ化が継続していることを示しており、多様な動機を持つグループが容易に攻撃能力を利用できるようになっています。

関連する別の脆弱性

WinRARの別の脆弱性CVE-2025-6218（CVSSスコア: 7.8）も、GOFFEE、Bitter、Gamaredonなどの複数の脅威アクターによって悪用されています。これは、Nデイ脆弱性がもたらす継続的な脅威を浮き彫りにしています。

元記事: https://thehackernews.com/2026/01/google-warns-of-active-exploitation-of.html