WinRARファイルアーカイバの重大な脆弱性に対処する公式セキュリティアップデートが2025年7月にリリースされたにもかかわらず、旧バージョンのユーティリティが引き続き脅威アクターによる企業インフラへの侵入口となっています。この持続的な脅威は、主に分散型環境において顕在化しています。こうした環境では、Group Policy・WSUS・SCCM・Microsoft Intuneといったエンタープライズパッチ管理システムによる定期的な管理なしに、ユーティリティが無数のエンドポイントに広く展開されたままになっています。
CVE-2025-8088を悪用する2つの攻撃キャンペーン
Trend Microのセキュリティ研究者らは最近、ウクライナの国家・防衛インフラを標的とした2つの異なるサイバースパイキャンペーンを記録しました。いずれの作戦も、CVE-2025-8088として登録された同一のソフトウェア脆弱性を武器化しています。
このパストラバーサルの深刻な欠陥はCVSSスコア8.4を持ち、悪意を持って構築されたアーカイブが意図された展開先のサンドボックス外への任意のファイル書き込みを実行できてしまいます。
無害に見せかける巧妙な手口
仕組みとしては、被害者が未加工のRARアーカイブを開くと、軍の指令書・司法召喚状・行政通知といった一見無害なPDFドキュメントが表示されます。しかし、解凍処理の裏では、ユーザーへの可視プロンプトを一切表示することなく、悪意あるペイロードがOSの重要なリポジトリに密かに投下されます。
WinRARはバージョン7.13でこの欠陥を修正しましたが、多数の企業ワークステーションでは旧バージョンのままパッチが適用されていません。この状況が攻撃者にとって格好の標的を生み出しています。攻撃者が必要とするのは、受信者がアーカイブを展開することだけです。次回のWindowsログイン時に2次実行フェーズが自動的にトリガーされることを知っているためです。
SHADOW-EARTH-066(UAC-0226)の進化
Trend MicroはこのAPTグループSHADOW-EARTH-066を、CERT-UAでUAC-0226として追跡されている攻撃クラスタとして特定しています。このグループはウクライナの軍事イノベーションセンター・戦術部隊・法執行機関、および東部国境付近の地方行政機関を組織的に標的としています。
基本的なマクロからインメモリ実行へ
従来、SHADOW-EARTH-066はマクロが有効なExcelスプレッドシートを組み込んだフィッシングメールを好んで使用していました。ソーシャルエンジニアリングの誘い文句は国家的に重要なテーマを模倣しており、人道的な地雷除去作業・行政処分・ドローン製造のロジスティクス・資産補償などが利用されていました。これらのドキュメントは、GIFTEDCROOKと呼ばれる専用モジュールを含むリモートアクセス型トロイの木馬と認証情報窃取ツールを投下していました。
2026年初頭には、グループの実行パイプラインが高度化しました。脅威アクターたちは基本的なExcelマクロを廃止し、CVE-2025-8088を悪用した武器化アーカイブへと移行しました。同時に、単純なTelegramベースの情報流出ルーチンを、高度なインメモリDLLインジェクションと専用のC2(コマンド&コントロール)サーバーに置き換えました。
- 広範な情報収集
更新されたGIFTEDCROOKの亜種は、管理者パスワード・アクティブなセッションクッキー・機密文書を収集します。このバイナリはChrome・Edge・Opera・Firefoxの認証情報データベースを直接標的にします。
- 対象ファイルの種類
このマルウェアはローカルのドキュメントリポジトリ・ダウンロードディレクトリ・一時キャッシュフォルダを精査します。流出対象はMicrosoft Officeフォーマット・PDFファイル・アーカイブ・EMLレコード・KeePassデータベース・OpenVPN設定ファイル・プレーンテキストファイルを含む35種類の拡張子に及びます。
- フォレンジック対策
データ流出後、悪意あるエージェントは中間ファイルと実行ショートカットを消去します。この防御戦略はインシデントレスポンスを困難にします。C2への送信が成功した時点で、物理的なディスク上の痕跡は即座に消滅するためです。その結果、フォレンジック分析者はネットワークテレメトリ・PowerShell実行ログ・Windowsの揮発性システムアーティファクトへと分析を切り替える必要があります。
Earth Dahu(Gamaredon)のスクリプト駆動型戦略
2つ目の攻撃キャンペーンを管理しているのは、Earth Dahu(通称Gamaredon)という活発な脅威グループです。このグループはウクライナの国家機関に対する積極的なキャンペーンの長い歴史を持ち、高度にカスタマイズされたスクリプト駆動型の実行チェーンに依存するのが特徴です。今回の手口でも、Earth DahuはCVE-2025-8088を同様に利用しています。ただし、コンパイル済みのC++認証情報窃取ツールを展開する代わりに、HTA・VBS・VBEスクリプトをWindowsのネイティブスタートアップリポジトリに直接投下します。
次回のユーザー認証時に、OSは正規のmshta.exeユーティリティを通じて武器化されたHTAファイルを実行します。スクリプトはその後、バックエンドのC2インフラを隠蔽するためにリバースプロキシとして機能する分散型ダイナミックDNSアーキテクチャとCloudflare Workersを経由してトラフィックをトンネリングしながら、2次の悪意あるコンポーネントを取得します。
Earth Dahuが使用するフィッシングの誘い文句は、召喚状・司法命令・資産差し押さえ令状といった公式の法的文書を模倣しています。特筆すべき点として、複数のメッセージが侵害された国有メールインフラおよび無料の公共メールサービスから送信されていたことが確認されています。
ある特定のクラスタでは、侵害された地域のExchangeサーバー上で、同一の内部IPアドレスを共有する4つの異なるアカウントが発見されました。これは、複数の企業メールボックスにフィッシングペイロードを配布するためにワークステーションが侵害されたことを裏付けています。
手法の相違と体系的な対策
| 脅威ベクター比較 | SHADOW-EARTH-066(UAC-0226) | Earth Dahu(Gamaredon) |
| 主要な配布手段 | コンパイル済みC++モジュール | 動的スクリプトフレームワーク |
| 実行メカニズム | インメモリDLLインジェクション | HTA / VBS / VBEスクリプト |
| 難読化の手法 | 文字列暗号化 | Cloudflare Workersによるプロキシ |
| インフラ構成 | 専用の独立サーバー | ダイナミックDNSマトリクス |
両グループは同一の脆弱性を悪用していますが、侵害後のツールセットは完全に異なります。両者の間に共通するインフラは確認されておらず、これは協調した共同作戦ではなく、脆弱なソフトウェアエコシステムへの並行した着目であることを示しています。
この実態はウクライナやWinRARプラットフォームに限った話ではありません。多数のユーティリティプログラム・ファイル圧縮ツール・ドキュメントビューアが世界中の企業に広く展開されており、これらのアセットは厳密な企業のパッチ管理サイクルから漏れ、脆弱な状態で数ヶ月から数年にわたって放置されることが少なくありません。
したがって、システム管理者はすべてのアクティブなエンドポイントのWinRARバージョンを直ちに監査し、最新の安全なリリースへの更新を徹底する必要があります。また、組織はサードパーティのユーティリティを一元化されたパッチサイクルに組み込むことも求められます。
侵害評価を実施する際、防御担当者はスタートアップディレクトリ内の未検証ファイル・mshta.exeの異常なインスタンス・隠れたPowerShellウィンドウを確認する必要があります。エンドポイントに侵害の積極的な痕跡が見られる場合、すべてのWebセッショントークンとブラウザに保存された認証情報は完全に漏洩したものとして扱わなければなりません。
翻訳元: https://meterpreter.org/winrar-cve-2025-8088-exploit/
