ロシアと連携する少なくとも2つの脅威グループが、パッチが適用されてから約1年が経過しているWinRARの重大な脆弱性を悪用し、ウクライナの軍および政府機関に対してメールを起点とした攻撃を仕掛けていることが明らかになりました。WinRARに関するトレンドマイクロの調査結果は、CVE-2025-8088として追跡されているこの脆弱性が、依然として脅威アクターの標的であり続けていることを示す新たな証拠です。
Shadow-Earth-066とEarth Dahu(別名:Gamaredon)として追跡されているロシア系脅威グループは、それぞれ独立した攻撃を通じてこの脆弱性を悪用しています。両攻撃とも武器化されたメールを起点としていますが、その後は異なる攻撃チェーンをたどります。これは月曜日にトレンドマイクロが公開したブログ投稿によるものです。
一方のキャンペーンでは、ウクライナのコンピュータ緊急対応チーム(CERT-UA)においてUAC-0226として追跡されているShadow-Earth-066が、この脆弱性を利用して情報窃取マルウェア「GiftedCrook」の更新版を展開しました。GiftedCrookは認証情報やドキュメントを収集した後、侵害されたシステムから自己削除します。
一方、長年にわたってロシアと連携してきた脅威アクターであり、Primitive Bear、Shuckworm、Aqua Blizzard、UAC-0010などの名でも追跡されているEarth Dahuは、別のキャンペーンにおいてこの脆弱性を悪用し、HTMLアプリケーション(HTA)を使用した感染チェーンを通じてスパイ活動に特化したマルウェアを配布しました。
「WinRARはウクライナの組織の日常業務に深く組み込まれており、攻撃者にとって魅力的な標的となっています」と、トレンドマイクロの研究者である柿良裕之(Hiroyuki Kakara)とFeike Hacquebordは記事に記しています。この脆弱性は2025年7月にリリースされたWinRAR 7.13でパッチが適用されています。
実際、トレンドマイクロによれば、4月の時点でもShow-Earth-066とEarth Dahuはともに新たなエクスプロイトサンプルを生成し続けており、Earth Dahuは現在も活動中です。両キャンペーンの標的は類似しており、軍事イノベーションセンター、軍部隊、法執行機関などの政府関連組織が被害対象となっています。
さらに研究者らによれば、GoogleのThreat Intelligence Groupも、Sandworm、Turla、Void Rabisuを含む他のロシア系脅威アクターが今年初めに同じ脆弱性を悪用したと報告しています。
パッチ未適用のWinRARシステムへの継続的な脅威
CVE-2025-8088は、WinRARのWindows版に影響するパストラバーサル脆弱性で、攻撃者による任意のコード実行を可能にします。具体的には、この脆弱性を悪用することで、意図した展開ディレクトリ外にファイルを書き込む悪意のあるアーカイブファイルを作成することができます。ログイン後のコード実行を可能にするWindowsのスタートアップフォルダへの書き込みも可能です。
WinRARは多くのウクライナ組織だけでなく、世界中で数億人ものユーザーに利用されている人気のクロスプラットフォーム圧縮・解凍ソフトウェアです。この広大なインストールベースにより、WinRARの脆弱性は一般的に攻撃者の格好の標的となっています。以前にCVE-2023-38831として追跡された脆弱性も、2023年にロシアと中国の双方の攻撃者から激しい攻撃を受けました。
実際、トレンドマイクロの調査結果は、CVE-2025-8088のパッチを適用していない組織が依然として攻撃に対して非常に脆弱であることを示す先行研究を裏付けています。1月に公開されたGoogleのレポートでは、国家支援の脅威アクターがこの脆弱性を標的にしており、特に中小企業が集中的な攻撃を受けていることが明らかになっています。
Secure.comのエンジニアリング担当責任者であるWaseem Ahmedは、攻撃者がこの脆弱性への投資を継続していることは注目に値するが、驚くべきことではないとDark Readingに語っています。それは、両キャンペーンの攻撃チェーンが示すように、この脆弱性の悪用コストが低いからかもしれません。
「特殊なエクスプロイトを開発する必要もなく、インフラを構築する必要もありません。罠が仕掛けられたアーカイブを添付したフィッシングメールを送るだけで、この手法は公表される以前からすでに市場で商品化されていました」と彼は述べています。「武器化のハードルは実質的になくなっています。」
一方、トレンドマイクロの研究者らは、WinRARが十分な数のエンドポイントでパッチ未適用のまま残っており、悪用への投資が見合うものになっていると指摘しています。その理由として、WinRARが自動更新に対応しておらず、グループポリシーもサポートせず、WSUS、SCCM、Intuneといった企業のパッチ管理チャネルの対象外であることが挙げられます。そのため、数百台ものエンドポイントにわたるパッチ適用状況の確認には、サードパーティ製ツールや手動監査が必要になると研究者らは記しています。
類似するも異なるWinRAR攻撃
Shadow-Earth-066とEarth DahuはどちらもCVE-2025-8088の悪用に異なるアプローチを採用しています。前者のグループは、ウクライナに関連する軍事・政府関連のテーマを用いたおとりと悪意のあるRARアーカイブを標的にメールで送付します。アーカイブはWinRARのパストラバーサル脆弱性を悪用し、攻撃者がNTFS代替データストリームを使ってWindowsのスタートアップフォルダに悪意のあるショートカット(LNK)やペイロードを配置できるようにします。
この場合、最終的に実行されるペイロードはGiftedCrookで、ブラウザのパスワード、セッションクッキー、35種類の拡張子に一致するファイルを収集する、認証情報やドキュメントの迅速な窃取に特化したスティーラーマルウェアです。
Earth Dahuも悪意のあるメールを使ってこの脆弱性を悪用していますが、やや異なる方法を採用しています。まず、侵害された政府機関のアカウントからスピアフィッシングメールを送付し、正規文書を装ったコンテンツを含む武器化アーカイブを添付します。次にWinRARの脆弱性を悪用して、Windowsが最終的に実行する場所に悪意のあるHTAファイルを配置します。HTAファイルはCloudflare Workers上にある脅威グループのC2インフラからVBScriptをダウンロードし、そのVBScriptが持続的なサイバースパイ活動を行うマルウェアモジュールを読み込みます。
パッチ未適用ならば今すぐ対処を
トレンドマイクロによると、影響を受けたシステムへのパッチ適用がWinRARの脆弱性悪用を回避する最善の方法です。「これらのアプリケーションの追跡とパッチ適用は任意ではありません」と研究者らは記事に記しています。「それは脅威アクターが依存する攻撃対象領域を縮小するための基本要件です。」
しかし、システム内でWinRARがどこに存在するかを把握していないためにパッチを適用できていない組織もあると、Secure.comのAhmedは指摘します。そのような場合、「発見していないものにはパッチを当てることはできないという前提から始める」べきであり、継続的なアセット探索とリスクベースの優先順位付けを実践してネットワークのどこに脆弱性があるかを把握することを推奨しています。
「次に、この脆弱性が無償で提供してくれるコントロールを活用してください」とAhmedは勧めています。「これらのキャンペーンはすべて同じ方法、すなわちWindowsのスタートアップフォルダへの書き込みによって持続します」であるため、まずそこへのアラートを設定することをAhmedは推奨しています。
さらに、攻撃チェーンを阻止するために、「メールゲートウェイで受信アーカイブを除去または無害化し、不要な場所ではWinRARを削除するかホワイトリストに登録する」べきだと指摘しています。「ドアは1年間開き続けています」とAhmedは言います。「本当の解決策は、自分がすべてのドアの場所を把握しているふりをやめることです。」
翻訳元: https://www.darkreading.com/vulnerabilities-threats/russian-groups-winrar-flaw-ukrainian-orgs
