ロシアの脅威グループが、ヨーロッパおよびカナダの組織を標的としたサイバースパイ活動の一環として、WinRARのゼロデイ脆弱性を悪用していることが確認されました。
このゼロデイはCVE-2025-8088として追跡されており、代替データストリームの利用に関するパストラバーサルの欠陥と説明されています。これにより、攻撃者は特別に細工したアーカイブを作成し、WinRARがユーザーが指定したパスではなく、攻撃者が定義したパスにファイルを展開することが可能となります。
サイバーセキュリティ企業ESETがこの攻撃を発見し、WinRARの開発者に脆弱性を報告しました。このセキュリティホールは、7月30日にリリースされたアップデートで修正されました。修正を含むベータ版は、ESETからの通知のわずか1日後である7月25日に公開されています。
ESETによると、CVE-2025-8088を利用した攻撃は、RomCom(別名Storm-0978、Tropical Scorpius、UNC2596)と呼ばれるロシア関連の脅威アクターによって実施されました。
RomComは、サイバースパイ活動と機会的なサイバー犯罪の両方を行うことで知られています。これが初めてのことではなく、同グループは以前にもヨーロッパや北米の標的に対してゼロデイ脆弱性を悪用した攻撃を行っています。
ESETが7月18日に最初に確認したWinRARゼロデイを悪用した攻撃では、ハッカーはスピアフィッシングメールを使い、履歴書に偽装した悪意のあるアーカイブを標的の個人に送信していました。メールは非常に標的を絞ったものであり、攻撃者が成功率を高めるために事前調査を行っていたことが示唆されます。
これらの攻撃は、カナダおよびヨーロッパの金融、防衛、製造、物流企業を標的としていました。
サイバーセキュリティ企業によると、標的となった組織は一つも侵害されませんでした。もし攻撃が成功していれば、特別に細工されたアーカイブによってSnipBot、RustyClaw、Mythic Agentなどのバックドアが展開される設計となっていました。
広告。スクロールして続きをお読みください。
ESETは、CVE-2025-8088が、最近WinRARで修正された別のパストラバーサル脆弱性であるCVE-2025-6218と類似していると指摘しています。
ロシアのセキュリティ企業Bi.zoneによると、CVE-2025-6218およびCVE-2025-8088は、同社がPaper Werewolfと呼ぶ脅威アクターによって、ロシア国内の組織(機器メーカーを含む)を標的に最近悪用されていました。
翻訳元: https://www.securityweek.com/russian-hackers-exploited-winrar-zero-day-in-attacks-on-europe-canada/