深刻な脆弱性にパッチが適用されてから約1年が経過した現在も、高度な脅威アクターがWinRARを悪用してウクライナ各地の標的を侵害し続けています。
CVE-2025-8088(CVSS 8.4)として追跡されているこの脆弱性を利用すると、攻撃者はセキュリティ警告を回避し、被害者のマシンにマルウェアをサイレントインストールすることができます。
SHADOW-EARTH-066やEarth Dahuを含むロシア系グループは、この脆弱性を自らの攻撃チェーンに組み込み、信頼性の高い初期侵入手段として活用しています。
WinRARには自動更新機能がなく、集中管理型のエンタープライズパッチ管理システムにも含まれていないことが多いため、継続的なセキュリティ上の盲点となっています。
セキュリティチームはこうした一般的なユーティリティアプリケーションを見落としがちで、攻撃者に長期にわたるパッチ未適用の足掛かりを与える結果となっています。
この脆弱性の核心は、WinRARの旧バージョンがNTFS代替データストリーム(ADS)を処理する仕組みにあります。ADSはメタデータを格納するための正当なファイルシステム機能ですが、攻撃者はこれを悪用して悪意のあるコードを隠し持つことができます。
何も知らないユーザーが細工されたRARアーカイブを開くと、通常は単一のおとりドキュメントのみが表示されます。
攻撃者はユーザーに操作を促すため、ウクライナの裁判所召喚状や国防省の通知を偽装したソーシャルエンジニアリングの手口を頻繁に用います。
その裏では、アーカイブにSTMzメタデータマーカーを利用した隠しADSエントリが含まれています。
バージョン7.13より前のWinRARは、これらのストリーム名に含まれるディレクトリトラバーサルのシーケンスを適切にサニタイズしないため、アプリケーションが隠されたペイロードをハードドライブ上の意図しない場所へと無防備に展開してしまいます。
SHADOW-EARTH-066(UAC-0226とも呼ばれる)として追跡されているグループは、WinRARの脆弱性を悪用して高度に進化した情報窃取型マルウェアを配布しています。
マルウェア解析者の分析を妨害するため、この高度なスティーラーはプロセス環境ブロック(PEB)ウォーキングを利用してAPIアドレスを動的に解決します。
また、ファイルパスやC2(コマンド&コントロール)URLといった内部文字列を、二重層のRC4暗号化で保護しています。
盗み出したデータをHTTPS経由で専用サーバーに送信した後、マルウェアは自らのステージングファイルを完全に削除し、フォレンジック証拠を消去します。
トレンドマイクロの調査によると、Earth Dahu(Gamaredon)はスパイ活動に特化したスクリプトベースのアプローチを採用しています。
複雑なマルチファイルのドロップではなく、RARアーカイブのパストラバーサルの脆弱性を利用して、単一の悪意あるHTML Application(HTA)ファイルをスタートアップフォルダに配置します。
Earth Dahuはこれらのアーカイブを、侵害された政府機関のメールアカウントを発信元とするスピアフィッシングキャンペーンを通じて頻繁に配布しています。
実行されると、このHTAファイルはCloudflare Workers上にホストされた攻撃者制御のインフラに接続し、追加のVBScriptモジュールをダウンロードします。ネットワークトラフィックを偽装するため、Earth Dahuは正規ドメインを巧みになりすます手口を多用しています。
URLにHTTPベーシック認証の構文を埋め込むことで、ブラウザのアドレスバーにウクライナ政府や報道機関の信頼されたドメインを表示させ、実際の接続先を巧妙に隠蔽します。
翻訳元: https://cyberpress.org/winrar-ads-malware-delivery/
