新たに発見されたWinRARの脆弱性が、ロシア系サイバーグループRomComによって実際に悪用されています。
本日早朝にESETの研究者が公開したアドバイザリによると、この脆弱性(CVE-2025-8088)は、攻撃者がアーカイブ内に悪意のあるファイルを隠し、解凍時に静かに展開できるようにするものです。
2025年7月30日にパッチが公開されており、ユーザーは直ちにアップグレードするよう強く推奨されています。
攻撃の仕組み
代替データストリームを利用したパストラバーサルの脆弱性は、WinRARのWindowsコマンドラインユーティリティ、UnRAR.dll、ポータブルUnRARソースコードなど複数のコンポーネントに影響します。
攻撃者は無害に見えるアーカイブを作成し、悪意のあるDLLやLNKファイルをシステムディレクトリに展開して、永続化やコード実行を可能にします。
7月18日から21日にかけて、RomComはヨーロッパとカナダの金融、製造、防衛、物流企業を標的にスピアフィッシングメールを使用しました。メールには求人応募を装ったRARファイルが添付されていました。
ESETによれば、このキャンペーン中に成功した侵害は確認されていません。
高度な持続的脅威の戦術についてさらに読む:ロシアAPTグループ、ゼロデイ攻撃とワイパーで欧州への攻撃を強化
セキュリティ研究者は、3つの異なる攻撃チェーンを特定しました:
-
Mythic agent:COMハイジャックを利用して悪意のあるDLLを実行し、その後コマンド&コントロール(C2)サーバーに接続されたシェルコードを復号・実行
-
SnipBotバリアント:修正されたPuTTY CAC実行ファイル経由で配布され、最近開いたドキュメント数が多いなど、実際に使用されているシステムでのみ動作
-
MeltingClaw(RustyClaw):Rustで書かれたダウンローダーで、リモートサーバーから追加のペイロードを取得
各攻撃チェーンは、ハードコードされたドメインチェックやアンチ解析技術を利用し、テスト環境での検出を回避していました。
ゼロデイ攻撃のパターン
RomCom(Storm-0978、Tropical Scorpius、UNC2596としても知られる)は、これまでにも未知の脆弱性を悪用してきた経歴があります。
2023年6月にはMicrosoft WordのCVE-2023-36884を悪用し、2024年10月には2つの脆弱性(FirefoxのCVE-2024-9680を含む)を連鎖させてバックドアを配布しました。このグループは金銭目的の攻撃と標的型スパイ活動の両方に関与しています。
ESETは、RomComの直後に別の未特定の脅威アクターがCVE-2025-8088の悪用を開始したことも指摘しています。WinRARチームが通知からわずか1日でパッチを公開した迅速さが、被害の拡大を防ぐ上で重要だったと強調されています。
セキュリティ専門家は、この脆弱性によるリスクを軽減するため、WinRARおよび関連コンポーネントの即時アップデートを推奨しています。
翻訳元: https://www.infosecurity-magazine.com/news/winrar-zero-day-exploited-romcom/