はじめに
Google Threat Intelligence Group(GTIG)は、Windows向けの人気ファイルアーカイバーツールであるWinRARに存在する重大な脆弱性CVE-2025-8088が、初期アクセスの確立および多様なペイロードの配布のために広範かつ活発に悪用されていることを確認しました。2025年7月に発見されパッチが提供された後も、ロシアおよび中国に関連する政府支援の脅威アクターに加え、金銭目的の脅威アクターが、異なる作戦においてこのn-dayを継続的に悪用しています。永続化のためにWindowsのスタートアップフォルダーへファイルを配置できるパストラバーサルの欠陥という一貫した悪用手法は、基本的なアプリケーションセキュリティとユーザー認知における防御上のギャップを浮き彫りにしています。
本ブログ記事では、CVE-2025-8088と典型的なエクスプロイトチェーンの詳細を示し、金銭目的および国家支援の諜報アクターによる悪用を取り上げるとともに、本記事で説明する活動の検知およびハンティングに役立つIOCを提供します。
この脅威から保護するため、組織およびユーザーにはソフトウェアを常に最新の状態に保ち、セキュリティ更新が利用可能になり次第、速やかに適用することを強く推奨します。脆弱性が修正された後も、悪意あるアクターはn-dayに依存し続け、パッチ適用の遅さを悪用します。また、エクスプロイトを含むファイルを積極的に識別してブロックするGoogle Safe BrowsingおよびGmailの利用も推奨します。
脆弱性と悪用メカニズム
CVE-2025-8088は、攻撃者がAlternate Data Streams(ADS)を悪用して利用する、WinRARにおける高深刻度のパストラバーサル脆弱性です。攻撃者は悪意あるRARアーカイブを作成でき、脆弱なバージョンのWinRARで開くと、システム上の任意の場所にファイルを書き込めます。この脆弱性の実環境での悪用は2025年7月18日という早い時期から始まっており、RARLABはその後まもなく、2025年7月30日にWinRARバージョン7.13をリリースしてこの脆弱性に対処しました。
エクスプロイトチェーンでは、アーカイブ内のデコイファイルのADS内に悪意あるファイルを隠すことがよくあります。ユーザーは通常、アーカイブ内のデコイドキュメント(PDFなど)を閲覧しますが、悪意あるADSエントリも存在し、一部には隠されたペイロードが含まれ、他はダミーデータです。
ペイロードは、重要なディレクトリへ到達するように特別に細工されたパスで書き込まれ、永続化のためにWindowsのスタートアップフォルダーが標的となることが多いです。パストラバーサルの鍵となるのは、ディレクトリトラバーサル文字と組み合わせたADS機能の利用です。
たとえば、RARアーカイブ内のファイルはinnocuous.pdf:malicious.lnkのような複合名を持ち、悪意あるパス../../../../../Users/<user>/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/malicious.lnkと組み合わされる場合があります。
アーカイブを開くと、ADSの内容(malicious.lnk)がトラバーサルパスで指定された宛先に展開され、次回ユーザーがログインした際にペイロードが自動的に実行されます。
国家支援の諜報活動
複数の政府支援アクターがCVE-2025-8088のエクスプロイトを採用しており、主に軍、政府、技術分野の標的に焦点を当てています。これは、2023年に既知のWinRARバグ(CVE-2023-38831)が広範に悪用された事例と類似しており、パッチが利用可能であっても、既知の脆弱性に対するエクスプロイトが非常に有効になり得ることを示しています。
図1:観測された注目すべき悪用のタイムライン
ウクライナを標的とするロシア系アクター
ロシア系と疑われる脅威グループは、地政学的状況に高度に合わせ込んだ誘引を用い、ウクライナの軍および政府機関を標的とするキャンペーンでCVE-2025-8088を一貫して悪用しています。
- UNC4895(CIGAR):UNC4895(公にはRomComとしても報告)は、金銭目的と諜報目的の両方を持つ脅威グループで、キャンペーンでは受信者に合わせた誘引を用いたスピアフィッシングメールがしばしば用いられます。私たちは、ウクライナ軍部隊を標的としていることを示す件名を確認しました。最終ペイロードはNESTPACKERマルウェアファミリー(外部ではSnipbotとして知られる)に属します。
図2:UNC4895キャンペーンで使用されたウクライナ語のデコイドキュメント
-
APT44(FROZENBARENTS):このロシアのAPTグループはCVE-2025-8088を悪用し、ウクライナ語のファイル名を持つデコイファイルと、追加のダウンロードを試みる悪意あるLNKファイルを配置します。
-
TEMP.Armageddon(CARPATHIAN):このアクターもウクライナの政府機関を標的としており、RARアーカイブを用いてHTAファイルをスタートアップフォルダーに配置します。HTAファイルは第2段階のダウンローダーとして機能します。初期ダウンローダーは通常、HTMLファイル内に格納されたアーカイブの中に含まれています。この活動は2026年1月まで継続しています。
-
Turla(SUMMIT):このアクターはCVE-2025-8088を採用し、STOCKSTAYマルウェアスイートを配布しました。観測された誘引は、ウクライナ軍の活動やドローン運用をテーマにしています。
中国系アクター
-
PRC(中華人民共和国)拠点のアクターがこの脆弱性を悪用し、スタートアップフォルダーに配置したBATファイル経由でPOISONIVYマルウェアを配布し、その後ドロッパーをダウンロードします。
金銭目的の活動
金銭目的の脅威アクターも、この脆弱性を迅速に採用し、商用標的に対してコモディティRATや情報窃取型マルウェアを展開しました。
-
誘引文書を用いてインドネシアの組織を標的としてきたグループは、この脆弱性を利用してスタートアップフォルダーに.cmdファイルを配置しました。このスクリプトはその後、Dropboxからパスワード保護されたRARアーカイブをダウンロードし、その中にはTelegramボットのC2(コマンド&コントロール)と通信するバックドアが含まれています。
-
ホスピタリティおよび旅行業界、特にLATAM(中南米)を標的とすることで知られるグループは、ホテル予約をテーマにしたフィッシングメールを用い、最終的にXWormやAsyncRATなどのコモディティRATを配布しています。
-
銀行サイトを介してブラジルのユーザーを標的としたグループは、2つのブラジルの銀行サイトのページにJavaScriptを注入してフィッシングコンテンツを表示し、認証情報を窃取する悪意あるChrome拡張機能を配布しました。
-
2026年の12月および1月においても、CVE-2025-8088を悪用するサイバー犯罪によって、コモディティRATやスティーラーを含むマルウェア配布が継続して観測されています。
地下のエクスプロイト・エコシステム:「zeroplayer」のような供給者
多様なアクターによるCVE-2025-8088の広範な利用は、有効なエクスプロイトに対する需要を示しています。この需要は、幅広い顧客に対してエクスプロイトの開発・販売を専門とする個人やグループが存在する地下経済によって満たされています。そのような上流の供給者の注目すべき例が、「zeroplayer」として知られるアクターで、2025年7月にWinRARエクスプロイトを宣伝していました。
WinRARの脆弱性は、zeroplayerの武器庫にある唯一のエクスプロイトではありません。歴史的にも、そして直近数か月においても、zeroplayerは脅威アクターがセキュリティ対策を回避できる可能性のある、他の高額エクスプロイトの提供を継続しています。アクターが宣伝しているポートフォリオには、他にも次のようなものが含まれます。
-
2025年11月、zeroplayerはMicrosoft Office向けのサンドボックスエスケープを伴うRCEゼロデイエクスプロイトを保有していると主張し、30万ドルで宣伝しました。
-
2025年9月下旬、zeroplayerは人気のある(名称非公開の)企業向けVPNプロバイダーに対するRCEゼロデイエクスプロイトを宣伝しましたが、価格は明示されていませんでした。
-
2025年10月中旬から、zeroplayerはWindows向けのゼロデイのローカル権限昇格(LPE)エクスプロイトを宣伝し、価格を10万ドルとして提示しました。
-
2025年9月上旬、zeroplayerは、特定されていないドライブに存在する脆弱性に対するゼロデイエクスプロイトを宣伝しました。これは攻撃者がアンチウイルス(AV)およびEndpoint Detection and Response(EDR)ソフトウェアを無効化できるようにするもので、8万ドルで宣伝されました。
エクスプロイトの上流供給者としてのzeroplayerの継続的な活動は、攻撃ライフサイクルのコモディティ化が進み続けていることを示しています。すぐに使える能力を提供することで、zeroplayerのようなアクターは、脅威アクターにとっての技術的複雑性とリソース要件を低減し、ランサムウェア展開から国家支援の情報収集まで、多様な動機を持つグループが多様な能力セットを活用できるようにしています。
結論
幅広い脅威アクターによるCVE-2025-8088の広範かつ機会主義的な悪用は、コモディティ化した初期アクセス手段としての実証済みの信頼性を浮き彫りにしています。また、n-day脆弱性がもたらす持続的な危険性を強く想起させるものでもあります。重大な欠陥に対する信頼性の高いPoCがサイバー犯罪および諜報の市場に流入すると、採用は瞬時に進み、高度な政府支援作戦と金銭目的キャンペーンの境界は曖昧になります。この脆弱性の急速なコモディティ化は、これらの脅威に対する防御の成功には、即時のパッチ適用に加え、一貫して予測可能な侵害後TTPを検知する方向への根本的な転換が必要であることを改めて示しています。
侵害指標(IOCs)
本ブログ記事で概説した活動のハンティングおよび特定を、より広いコミュニティが行えるよう支援するため、侵害指標(IOC)を登録ユーザー向けのGTIコレクションに含めました。
ファイル指標
|
ファイル名 |
SHA-256 |
|
1_14_5_1472_29.12.2025.rar |
|
|
2_16_9_1087_16.01.2026.rar |
|
|
5_18_6_1405_25.12.2025.rar |
|
|
2_13_3_1593_26.12.2025.rar |
|
|
5_18_6_1028_25.12.2025.rar |
|
|
2_12_7_1662_26.12.2025.rar |
|
|
1_11_4_1742_29.12.2025.rar |
|
|
2_18_3_1468_16.01.2026.rar |
|
|
1_16_2_1428_29.12.2025.rar |
|
|
1_12_7_1721_29.12.2025.rar |
|
| N/A |
|
|
1_15_7_1850_29.12.2025.rar |
|
|
2_16_2_1526_26.12.2025.rar |
|
| N/A |
|
|
підтверджуючі документи.pdf |
|
|
Desktop_Internet.lnk |
|
| N/A |
|
| N/A |
|
| N/A |
|
| N/A |
|
| N/A |
|
| N/A |
|
| N/A |
|
| N/A |
|
| N/A |
|
| N/A |
|
| N/A |
|
| N/A |
|
| N/A |
|
| N/A |
|
| N/A |
|
| N/A |
|
| N/A |
|
| N/A |
|
|
3-965_26.09.2025.HTA |
|
|
Заява про скоєння злочину 3-965_26.09.2025.rar |
|
|
Proposal_for_Cooperation_3415.05092025.rar |
|
| N/A |
|
| N/A |
|
|
document.rar |
|
|
update.bat |
|
|
ocean.rar |
|
|
expl.rar |
|
|
BrowserUpdate.lnk |
|
翻訳元: https://cloud.google.com/blog/topics/threat-intelligence/exploiting-critical-winrar-vulnerability/
