最近修正されたWinRARの脆弱性(CVE-2025-8088として追跡)が、ゼロデイとしてフィッシング攻撃でRomComマルウェアをインストールするために悪用されていました。
この脆弱性はディレクトリトラバーサルの脆弱性であり、WinRAR 7.13で修正されました。攻撃者が特別に細工したアーカイブを作成することで、任意のファイルパスにファイルを展開できてしまいます。
「ファイルを展開する際、以前のバージョンのWinRAR、Windows版RAR、UnRAR、ポータブルUnRARソースコードおよびUnRAR.dllは、ユーザーが指定したパスではなく、特別に細工されたアーカイブで定義されたパスを使用するように騙される可能性があります」と、WinRAR 7.13の変更履歴には記載されています。
「RAR、UnRAR、ポータブルUnRARソースコードおよびUnRARライブラリのUnixバージョン、ならびにAndroid用RARは影響を受けません。」
この脆弱性を利用することで、攻撃者は実行ファイルをWindowsのスタートアップフォルダーなどの自動実行パスに展開するアーカイブを作成できます。例えば:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup(ユーザーごと)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp(全マシン)次回ユーザーがログインした際に、この実行ファイルが自動的に実行され、攻撃者がリモートでコードを実行できるようになります。
WinRARには自動更新機能がないため、すべてのユーザーがwin-rar.comから最新バージョンを手動でダウンロード・インストールし、この脆弱性から保護されることが強く推奨されます。
ゼロデイとして攻撃で悪用
この脆弱性はESETのAnton Cherepanov氏、Peter Košinár氏、Peter Strýček氏によって発見され、Strýček氏はBleepingComputerに対し、マルウェアをインストールするためにフィッシング攻撃で積極的に悪用されていたと語っています。
「ESETは、RARファイルを含む添付ファイル付きのスピアフィッシングメールを確認しています」とStrýček氏はBleepingComputerに語りました。
これらのアーカイブはCVE-2025-8088を悪用し、RomComバックドアを配布していました。RomComはロシア系のグループです。」
RomCom(Storm-0978、Tropical Scorpius、UNC2596としても追跡)は、ランサムウェアやデータ窃取による恐喝攻撃、認証情報の窃取を目的としたキャンペーンに関与するロシアのハッキンググループです。
このグループは、攻撃でのゼロデイ脆弱性の利用や、データ窃取攻撃、永続化、バックドアとしてのカスタムマルウェアの使用で知られています。
RomComはこれまでにも、CubaやIndustrial Spyなど、数多くのランサムウェア作戦との関連が指摘されています。
ESETはこの悪用に関するレポートを作成中で、後日公開予定です。
