CVE-2025-8088 WinRARの脆弱性
セキュリティ研究者らは、RARLAB WinRARに存在する、既に修正済みの重大な脆弱性が複数の脅威アクターによって広範囲に悪用されていることを突き止めました。国家主導の攻撃者と金銭目的のグループの両方が、この脆弱性を悪用して標的環境への初期アクセスを取得し、幅広い悪意のあるペイロードを展開しています。2025年7月に修正プログラムが公開されたにもかかわらず、この脆弱性は依然として様々な活動において悪用されており、未修正のソフトウェアに伴う継続的なリスクを浮き彫りにしています。
目次
CVE-2025-8088: 技術概要と影響
この脆弱性はCVE-2025-8088として追跡され、CVSSスコアは8.8です。この脆弱性は、2025年7月30日にリリースされたWinRARバージョン7.13で修正されました。この脆弱性を悪用すると、脆弱性のあるバージョンのソフトウェアで開かれた特別に細工されたアーカイブファイルを介して任意のコード実行が可能になります。根本的な原因は、攻撃者が機密性の高い場所、特にWindowsのスタートアップフォルダにファイルをドロップできるパストラバーサルの脆弱性です。これにより、ステルス性の高い永続化が可能になり、システムの再起動やユーザーログイン時に自動的に実行されます。
この悪用手法は、基本的なアプリケーション セキュリティ衛生とエンド ユーザーの認識における、より広範な防御ギャップを反映しています。
ゼロデイからNデイへ:攻撃の進化
この脆弱性は、2025年7月18日という早い時期にゼロデイ攻撃として悪用され、特に二重動機の脅威グループRomCom(別名CIGAR、UNC4895)によって悪用されました。これらの攻撃活動は、SnipBot(NESTPACKER)マルウェアの亜種を拡散しました。研究者らは、UNC2596として追跡されているクラスターと関連した活動も確認しており、このクラスターはCubaランサムウェアの展開と関連付けられています。
公開とパッチ適用後、この脆弱性は急速に広く悪用されるn-day攻撃へと変化しました。攻撃者は、囮コンテンツ内に悪意のあるファイル(多くの場合、代替データストリーム(ADS)に隠されたWindowsショートカット(LNK)ペイロード)を埋め込みます。抽出されたこれらのファイルは、所定のシステムパスに配置され、再起動後に自動的に実行されます。
国家による活動が搾取を拡大
複数の政府系脅威グループがCVE-2025-8088を活発な攻撃活動に組み込んでいます。特にロシア系攻撃者は、スパイ活動と破壊活動の両方の目的を達成するために、カスタマイズされたルアーや二次ペイロードを使用しています。
- Sandworm (APT44 または FROZENBARENTS とも呼ばれる) は、ウクライナをテーマにしたおとりファイルと、追加コンポーネントを取得するように設計された悪意のある LNK ペイロードを含むアーカイブを展開しました。
- Gamaredon (別名 CARPATHIAN) は、第一段階として HTML アプリケーション (HTA) ダウンローダーを配信する RAR アーカイブを使用して、ウクライナ政府機関を標的にしました。
同時に、中国を拠点とする脅威アクターが同じ脆弱性を武器にして Poison Ivy をインストールしました。これは、Windows のスタートアップ フォルダーにドロップされ、セカンダリ ドロッパーを取得するように構成されたバッチ スクリプトを通じて配信されます。
金銭目的のキャンペーンと商業的ターゲティング
サイバー犯罪グループはこの脆弱性を迅速に悪用し、商用の標的を狙った市販のリモートアクセス型トロイの木馬(RAT)や情報窃取型マルウェアを展開しました。確認されたペイロードには、Telegramボット制御のバックドアや、AsyncRATやXWormなどのマルウェアファミリーが含まれています。
注目すべき攻撃の一つとして、ブラジルのユーザーを標的とすることで知られるサイバー犯罪グループが、悪意のあるChrome拡張機能を配布しました。この拡張機能は、ブラジルの2つの銀行ウェブサイトのページにJavaScriptを挿入し、フィッシングコンテンツを表示してユーザーの認証情報を取得するもので、WinRARエクスプロイトを悪用した初期アクセスの柔軟性を実証しました。
地下市場とエクスプロイトの商品化
CVE-2025-8088の急速かつ広範な普及は、アンダーグラウンドのエクスプロイト経済の活発化に起因すると推定されています。WinRARエクスプロイトは数千ドルで宣伝されていたと報じられており、幅広いアクターにとって参入障壁を下げています。「zeroplayer」という別名で活動するサプライヤーは、CVE-2025-8088の公開に先立つ数週間前から、WinRARエクスプロイトを販売していました。
Zeroplayer がアップストリーム プロバイダーとして継続的に役割を果たしていることは、攻撃ライフサイクルのコモディティ化を示しています。ターンキー エクスプロイト機能によって開発コストが削減され、さまざまな動機を持つグループが高度な操作を実行できるようになります。
より広範なパターン:WinRAR のさらなる脆弱性が攻撃を受けている
この活動は、WinRARの別の脆弱性であるCVE-2025-6218(CVSSスコア:7.8)を悪用する試みと同時期に発生しています。GOFFEE、Bitter、Gamaredonを含む複数の脅威アクターがこの脆弱性を悪用していることが確認されており、nデイ脆弱性がもたらす脅威の継続と、新たに発見された脆弱性を攻撃者が迅速に悪用するスピードを改めて浮き彫りにしています。
防衛側にとっての戦略的影響
パッチ適用済みのWinRARの脆弱性が継続的に悪用されていることは、タイムリーなパッチ管理、ユーザー意識向上トレーニング、そしてスタートアップディレクトリ内の不正ファイルなどの永続化メカニズムの監視の重要性を浮き彫りにしています。国家主導の悪用と犯罪行為の融合は、重大な脆弱性がいかに急速に脅威環境全体で共有リソース化されるかをさらに示しています。
