Google Threat Intelligence Group(GTIG)は、過去6か月にわたり、複数の国家支援型脅威アクターおよびサイバー犯罪グループが攻撃でWinRARの脆弱性を悪用していると警告している。
CVE-2025-8088として追跡されているこの高深刻度のバグは、7月30日に修正された。これは、ロシア関連のハッキンググループRomCom(Storm-0978、Tropical Scorpius、UNC2596としても知られる)によって、実環境でゼロデイとして悪用されていた後のことだ。
この問題は、Windows向けWinRARにおけるパストラバーサルの欠陥として説明されており、細工されたアーカイブファイルを用いて任意のコード実行に悪用され得る。
GTIGによると、APTおよびサイバー犯罪グループは、アーカイブ内のデコイ(おとり)ファイルのAlternate Data Streams(ADS)に隠された悪意あるファイルを介して、このセキュリティ欠陥を悪用している。
「攻撃者は、脆弱なバージョンのWinRARで開かれると、システム上の任意の場所にファイルを書き込める悪意あるRARアーカイブを作成できる」と、GTIGは説明している。
悪意あるペイロードには、特定のディレクトリ(通常は永続化のためのスタートアップフォルダー)へ到達するように設計された、特別に細工されたパスが含まれている。そのため、アーカイブが開かれると内容がシステムに書き込まれ、ユーザーがログインした際に実行される。
「ロシアおよび中国に関連する政府支援型脅威アクターに加え、金銭目的の脅威アクターも、異なる作戦にまたがってこのn-dayを引き続き悪用している」とGTIGは述べている。
国家支援型APTは、政府、軍、技術関連の組織を標的とする攻撃でこのCVEを悪用しているのが確認された。
GTIGは、観測された攻撃を、ロシア関連APTであるRomCom、Sandworm(APT44、BlackEnergy Lite、Seashell Blizzardとしても知られる)、Armageddon(Aqua Blizzard、Callisto、Gamaredon、Primitive Bear、UNC530としても知られる)、およびTurla(Krypton、Snake、Venomous Bear、Waterbugとしても知られる)に結び付けた。
GTIGによれば、これらの攻撃は軍部隊を含むウクライナのさまざまな組織を標的としていた。最も最近の攻撃は2026年1月に観測された。
さらにGTIGは、中国の国家支援型APTがこのWinRARの脆弱性を悪用してPoisonIvyマルウェアを展開しているのを観測した。
サイバー犯罪グループによる悪用
GTIGによると、金銭目的のサイバー犯罪者によるCVE-2025-8088の悪用は多様で、世界的に広がっている。
このバグは、インドネシアの組織、世界中のホスピタリティおよび旅行関連組織(特にラテンアメリカに重点)、ブラジルのオンラインバンキング利用者を標的とするために悪用されており、コモディティRATを含むさまざまなマルウェアファミリーの配布にも用いられている。
「多様なアクターによるCVE-2025-8088の広範な利用は、効果的なエクスプロイトに対する需要を浮き彫りにしている。この需要は、個人やグループがさまざまな顧客向けにエクスプロイトの開発と販売を専門とする地下経済によって満たされている」とGTIGは指摘している。
2025年7月以降、「zeroplayer」という呼称を用いてWinRARのエクスプロイトを宣伝している脅威アクターの1人は、Office、VPN、Windowsのゼロデイも提供しているのが確認された。
「zeroplayerのようなアクターは、すぐに使える能力を提供することで、脅威アクターにとっての技術的な複雑さとリソース要件を低減し、ランサムウェアの展開から国家支援の情報収集まで、多様な動機を持つグループが多様な能力セットを活用できるようにしている」とGTIGは述べている。
翻訳元: https://www.securityweek.com/apts-cybercriminals-widely-exploiting-winrar-vulnerability/
