Google Threat Intelligence Groupは、国家支援グループや金銭目的のサイバー犯罪者を含む多様で増加し続ける攻撃者の集団が、6カ月前に公開されパッチが提供された、WinRARに影響するパストラバーサルの脆弱性を悪用していると警告した。
深刻度の高いこの脆弱性――CVE-2025-8088――は、ファイルアーカイバーツールのベンダーであるRARLABが7月下旬のソフトウェア更新で脆弱性に対処するほぼ2週間前に、実環境で悪用されていた。
この脆弱性の積極的な悪用は、過去6カ月の間に一貫してより多くの脅威グループへと広がっており、現在も継続している。Googleの脅威ハンターは、少なくとも金銭目的の攻撃者3者、ロシアの国家支援グループ4つ、中国に拠点を置く攻撃者1者による攻撃に帰属させた。
「ロシアおよび中国に関連する政府支援の脅威アクターに加え、金銭目的の脅威アクターが、異なる作戦にわたってこのn-dayを引き続き悪用している」とGoogleは火曜日の脅威インテリジェンス報告書で述べた。研究者らは、この脆弱性に関連する攻撃件数は明らかにしなかったが、活動は広範だと説明した。
研究者らによると、国家支援グループは一貫してこの欠陥を悪用し、軍事、政府、技術分野の被害者をスパイ目的で標的にしている。ロシアに支援されたグループはウクライナの軍および政府機関を標的としている一方、中国拠点の攻撃者の標的は不明のままだ。
サイバー犯罪者もこの脆弱性の悪用に殺到している。Googleは、以前にインドネシア、ラテンアメリカ、ブラジルの被害者を標的にしていたグループにまで遡ってキャンペーンを追跡した。サイバー犯罪グループは12月と1月にこの脆弱性を悪用し、リモートアクセス型トロイの木馬や情報窃取型マルウェアを含むマルウェアを展開した。
Googleは、10月までに関与した幅広い攻撃者を示す観測された悪用のタイムラインを公開したが、2025年後半以降の悪意ある活動の大半はサイバー犯罪者によるものとされている。
攻撃は共通の悪用手法を共有しており、それがさまざまな脅威グループにより急速に採用された。
「標的デバイス上での実行を成功させるために、政府支援グループと金銭目的のアクターの双方が同じ悪用手法を用いているのを確認している」とGTIGはメールで述べた。「悪意あるRARアーカイブを作成するこの仕組みにより、被害者は影響を受けたことを判断しにくくなる。というのも、表向きには無害なデコイファイルが表示される一方で、背後ではWindowsのスタートアップフォルダーのような重要なシステム位置に、悪意あるペイロードが静かにドロップされるためだ。」
研究者らによると、このマルウェアはユーザーの操作を必要とせず、侵害の明確な兆候もないため、悪意ある活動を見つけるのは非常に難しい。
さまざまな目的を持つ攻撃者がこの脆弱性に群がっており、これはGoogleのThreat Analysis Groupが2023年10月に警告した、以前のWinRARの欠陥の広範な悪用――CVE-2023-38831――を想起させる。
「WinRARの脆弱性を悪用するための参入障壁は低い。公開されている、すぐに使えるツールで悪意あるアーカイブを迅速に作成しテストできるからだ」と研究者らは述べた。Googleは組織に対しWinRARのセキュリティ更新をインストールするよう促し、防御側が自社システム上の悪意ある活動をハンティングできるよう、侵害指標を公開した。
翻訳元: https://cyberscoop.com/winrar-defect-active-exploits-google-threat-intel/
