Googleの脅威インテリジェンスグループ(GTIG)は、CVE-2025-8088として追跡されている重大なWinRARの脆弱性が、複数の脅威アクターによってWindowsシステムへのアクセス獲得および維持のために積極的に悪用されていると警告している。
この欠陥は2025年7月に発見され、同月に修正されたが、まだ更新していない組織に対して「n-day」脆弱性として悪用され続けている。
ロシアおよび中国に関連する政府支援グループと、金銭目的のサイバー犯罪者の双方が、このバグを信頼できる初期侵入ベクターおよび永続化メカニズムとして利用している。
Googleは、この継続的な活動が、パッチ適用の遅さとアーカイブツールに関するユーザー認知の低さが主要な防御上のギャップであることを浮き彫りにしていると指摘する。
CVE-2025-8088はWinRARにおける高深刻度のパストラバーサル脆弱性で、攻撃者はWindowsの代替データストリーム(ADS)を用いて悪用する。
攻撃者は悪意のあるRARアーカイブを作成し、脆弱なWinRARバージョンで開かれると、被害者のシステム上の任意の場所にファイルを書き込める。
観測された多くのケースでは、ペイロードはWindowsのスタートアップフォルダーに書き込まれ、次回ユーザーがログインした際に悪意のあるファイルが自動的に実行されるようになる。
これにより、単にアーカイブを開くという行為が、いったん発動すると追加のユーザー操作を必要としないステルスな永続化メカニズムへと変わる。
このエクスプロイトチェーンでは通常、アーカイブ内の一見無害な文書(PDFのデコイなど)のADS内に悪意のある内容を隠す。
ファイル名は複合形式で構成される場合があり、例えば innocuous.pdf:malicious.lnk のように、見える部分は無害そうな文書である一方、隠されたADS部分にショートカットのペイロードが含まれる。
攻撃者はこれを、../../../../../Users/<user>/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/malicious.lnk のような特別に細工したトラバーサルパスと組み合わせ、スタートアップディレクトリへの強制展開を行う。
被害者がアーカイブを開くと、WinRARがADSの内容を処理し、LNKファイルを狙ったフォルダーにドロップして、目立った疑いを招くことなく永続化を達成する。
実環境での悪用は2025年7月18日という早い時期に始まっており、RARLABは2025年7月30日にリリースされたWinRARバージョン7.13でこの問題に対処した。
複数の国家関連グループがCVE-2025-8088を諜報活動に組み込み、特に軍事、政府、技術分野の標的に焦点を当てている。
GTIGは、このパターンが、WinRARのCVE-2023-38831の以前の大規模悪用と類似していると指摘し、既知で修正済みのアーカイブのバグでも、パッチ適用が遅れると何年にもわたり非常に有効であり続け得ることを示している。
ロシアに結び付く脅威クラスターは、ウクライナの標的に対して特に活発だった。UNC4895(RomComとしても知られる)は、ウクライナ軍をテーマにした誘導文言を用いたスピアフィッシングキャンペーンでアーカイブを配布し、最終的にNESTPACKER(外部ではSnipbotとしても知られる)を展開している。
APT44(FROZENBARENTS)は、この欠陥を利用して、追加のペイロードを取得しようとする悪意のあるLNKファイルとともに、ウクライナ語のデコイファイルをドロップしている。
TEMP.Armageddon(CARPATHIAN)は、RARアーカイブを悪用してスタートアップフォルダーにHTAファイルをドロップし、それが第2段階マルウェアのダウンローダーとして機能し、活動は2026年1月まで継続している。
Turla(SUMMIT)は、このエクスプロイトを採用し、ウクライナ軍やドローン作戦をテーマにした誘導文言でSTOCKSTAYマルウェアスイートを配布している。
中国に関連する活動も観測されており、PRC拠点のアクターがこの脆弱性を利用してスタートアップフォルダーにBATファイルをドロップし、そこからPOISONIVYマルウェアを配布するケースが含まれる。
これは、Windowsエンドポイント上で安定したアクセスと永続化を提供する信頼性の高いエクスプロイトがある場合、異なる諜報グループが同じ手法に収束することを示している。
金銭目的の攻撃者も、CVE-2025-8088を迅速に武器化し、商用環境全体にコモディティ型のリモートアクセス型トロイの木馬(RAT)や情報窃取型マルウェアを配布している。
インドネシアの組織を標的としたあるグループは、誘導用文書とこの脆弱性を用いてスタートアップフォルダーに.cmdファイルをドロップし、その後Dropboxからパスワード保護されたRARアーカイブを取得した。アーカイブには、TelegramのボットベースのC2(コマンド&コントロール)チャネルと通信するバックドアが含まれていた。
ラテンアメリカのホスピタリティおよび旅行分野に焦点を当てた別のアクターは、ホテル予約をテーマにしたフィッシングメールを用い、最終的にXWormやAsyncRATなどのRATを配布している。
別のグループは、悪意のあるChrome拡張機能を配布してブラジルの銀行利用者を標的にし、2つの地元銀行のページにJavaScriptを注入してフィッシング用オーバーレイにより認証情報を窃取している。
この広範な普及の背後には、エクスプロイト供給者の地下エコシステムの拡大がある。GTIG は、「zeroplayer」として知られるアクターに注目しており、同者は2025年7月にWinRARのエクスプロイトを宣伝し、高額なゼロデイを販売してきた経歴がある。
そのポートフォリオには、30万ドルで提供されたMicrosoft Officeのサンドボックス回避RCEゼロデイ、人気の企業向けVPNのゼロデイ、10万ドルで価格設定されたWindowsローカルの権限昇格エクスプロイト、そして8万ドルで販売されたAV/EDR回避エクスプロイトが含まれている。
zeroplayerのようなアクターがすぐに使えるエクスプロイトパッケージを提供することで技術的ハードルが下がり、国家支援・犯罪の双方のグループが強力な能力を迅速に作戦へ統合できるようになる。
GTIGは、組織およびエンドユーザーに対し、WinRARを最新バージョンへ更新し、利用可能なすべてのセキュリティパッチを可能な限り迅速に適用するよう促している。
攻撃者はn-day脆弱性と遅いパッチサイクルに大きく依存しているため、露出期間を短縮することがこれらのキャンペーンを鈍化させる上で重要である。
防御側はさらに、GTIGがVirusTotalコレクションを通じて共有した既知の侵害指標(IOC)をハンティングし、エンドポイントのスタートアップディレクトリに不審なファイルやショートカットが出現していないか監視すべきである。
翻訳元: https://cyberpress.org/winrar-flaw-enables-persistence/
