概要:WinRARの脆弱性を悪用した新たな脅威
サイバーセキュリティ研究者たちは、悪名高いGamaredon脅威グループが、WinRARの重大な脆弱性を悪用して政府機関を標的とする巧妙なフィッシングキャンペーンを発見しました。この攻撃は、人気のあるファイル圧縮ソフトウェアにおけるパス・トラバーサル脆弱性であるCVE-2025-8088を悪用し、悪意のあるRARアーカイブを配信します。これにより、ユーザーが一見無害なPDFドキュメントを開くだけで、悪意のあるペイロードがサイレントに展開されます。
攻撃手法の詳細
この攻撃手法は、Gamaredonの戦術、技術、手順における懸念すべき進化を示しています。攻撃者はCVE-2025-8088を悪用することで、標準的なセキュリティ対策を回避する悪意のあるRARアーカイブを作成し、HTA(HTMLアプリケーション)マルウェアファイルをWindowsのスタートアップフォルダに直接ドロップします。このパス・トラバーサル脆弱性により、攻撃者は被害者のシステム上の任意の場所にファイルを書き込むことができ、予期される解凍ディレクトリを迂回します。
CVE-2025-8088の悪用は、WinRARが政府機関や企業環境で広く展開されているため、重大な脅威ベクトルとなります。被害者がアーカイブ内に含まれる無害に見えるPDFドキュメントを開くと、悪意のあるHTAファイルがサイレントにスタートアップフォルダに配置され、侵害されたシステム上での永続性が確保されます。マルウェアは次回のシステム再起動時に自動的に実行され、即座に疑念を抱かせることなく、標的の政府ネットワーク内に攻撃者の足がかりを与えます。
Gamaredonの戦術と標的
Primitive BearおよびShuckwormとしても追跡されているGamaredonは、特に東ヨーロッパの政府機関や重要インフラに一貫して焦点を当ててきました。この最新のキャンペーンは、グループの攻撃的な標的設定パターンを継続しており、ソーシャルエンジニアリング戦術と技術的な悪用を組み合わせて、高価値の標的を侵害しています。攻撃者は、政府職員にアピールするように設計された説得力のあるフィッシング詐欺の誘いを作成し、多くの場合、公式文書、ポリシー更新、または緊急通信を装います。これらの欺瞞的な戦術は人間の心理を悪用し、セキュリティ意識向上トレーニングを受けているにもかかわらず、被害者が疑わしい添付ファイルを開く可能性を高めます。
マルウェアの分析
セキュリティ研究者は、このキャンペーンに関連する3つの異なるHTAマルウェアサンプルを特定しました。ドロップされたファイルは、複数の標的への協調的な展開を示す共通の特性を共有しています。分析により、これらのHTAファイルがダウンローダーまたは初期アクセスツールとして機能し、コマンド&コントロール通信を確立して追加のペイロードを取得したり、機密情報を外部に送信したりすることが明らかになっています。
推奨される対策
組織、特に政府部門の組織は、CVE-2025-8088に対処する最新バージョンにWinRARのインストールを直ちにパッチ適用することを優先すべきです。セキュリティチームは、疑わしいRARアーカイブ、特に公式文書を主張するものを検出して隔離するために、強化された電子メールフィルタリングルールを実装する必要があります。エンドポイント検出および対応(EDR)ソリューションは、スタートアップフォルダでの予期しないHTAファイルの作成を監視するように構成し、侵害の試みの早期警告を提供する必要があります。さらに、組織はセキュリティ意識向上トレーニングを強化し、信頼できる情報源からのものに見える場合でも、予期しない添付ファイルを開くリスクを強調する必要があります。ネットワーク防御者は、このキャンペーンに関連する侵害の兆候についてシステムログを確認し、検出された疑わしい活動を徹底的に調査する必要があります。Gamaredonの活動の永続的な性質は、このキャンペーンが単なる孤立したインシデントではなく、継続的な脅威活動であることを示唆しており、標的となるセクター全体で警戒を強化する必要があります。