ロシア系RomComがWinRARゼロデイ(CVE-2025-8088)を悪用:高度に標的化された攻撃が確認
1. 脆弱性の概要
- CVE-2025-8088
- 種類:パス・トラバーサル脆弱性
- 影響製品:WinRAR(Windows版)、RAR、UnRAR.dll、関連ソースコード
- CVSSスコア:8.4(高危険度)
- 修正版:WinRAR v7.13(7月31日公開)
この脆弱性により、細工されたRARファイルを展開すると、ユーザー指定のパスではなく攻撃者指定のパスが使用され、システムに不正ファイルが展開される可能性があります。
2. 悪用の実態
- RomComグループ(ロシア連携)
- 攻撃時期:7月18日~21日頃
- 標的:金融、製造、防衛、物流(欧州・カナダ)
- 手口:**スピアフィッシング(偽の履歴書や求人応募ファイル)**を利用。
- 攻撃は高度に標的化され、特定企業のドメイン名をマルウェアにハードコードしていた。
- Paper Werewolfグループも同脆弱性を利用。
- 出所の可能性:6月にハッカー「zeroplayer」がサイバーフォーラムで$80,000でWinRARゼロデイを販売していた広告と関連か。
3. 攻撃チェーンの詳細
RARファイルには常に以下のマルウェアが含まれる:
- 悪意あるLNKファイル(スタートアップに配置→持続化)
- DLLまたはEXE(RomComバックドアを展開)
主なペイロード
- Mythic agent:標的企業以外では実行されない仕組み。
- SnipBot変種(ApbxHelper.exe):PuTTY CACを改造。無効な署名使用。
- アンチ解析技術:直前に69件以上のファイルが開かれていないと実行しない。
- RustyClaw(Rust製ダウンローダー):MeltingClawに関連。追加ペイロードを取得。
4. 攻撃グループの過去事例
RomComは今回で少なくとも3回目のゼロデイ悪用:
- CVE-2023-36884(MS Word RCE)
- CVE-2024-9680+別のWindows未公開脆弱性
- CVE-2024-49039(Firefox/Thunderbird/Tor Browser RCE)
また、ロシアGRU系 Fancy Bear も過去にWinRAR脆弱性(CVE-2023-38831)を大規模に悪用。
5. セキュリティ上の示唆
- 直ちにWinRARを最新版(7.13)へ更新すること。
- **不審な添付ファイル(特に求人応募・履歴書形式)**に注意。
- 標的型攻撃の特徴:
- 攻撃対象は事前偵察済み。
- マルウェアは検出回避技術を搭載。
- 攻撃成功率を高めるため、複数のバックドアを併用。
ESETは「脆弱性情報が公開された今、他の攻撃者が同手法を模倣する可能性が高い」と警告しています。
