WinRARのゼロデイ、ロシアアクターRomComとPaper Werewolfに悪用される:CVE-2025-8088 | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > WinRARのゼロデイ、ロシアアクターRomComとPaper Werewolfに悪用される:CVE-2025-8088

デイリーサイバーアラート

Silobreaker-CyberAlert

スピアフィッシング

ロシア

WinRARのゼロデイ、ロシアアクターRomComとPaper Werewolfに悪用される:CVE-2025-8088

佐々山 Tacos

佐々山 Tacos

2025.10.17

WinRARのゼロデイ、ロシアアクターRomComとPaper Werewolfに悪用される:CVE-2025-8088

The Register – Aug 11, 2025

圧縮データを管理するための圧縮・解凍ユーティリティWinRARの脆弱性CVE-2025-8088は、ロシアのハッカーRomComおよび少なくとももう1組のロシア関連ハッカーグループにゼロデイとして悪用されていたという。サイバーセキュリティ企業ESETが報告した

CVE-2025-8088は、WinRAR、Windows版RAR、UnRAR、ポータブルUnRARソースコード、UnRAR.dllに影響を与えるパストラバーサルの脆弱性。攻撃者は特別に細工されたアーカイブを使ってこれを悪用することで、ファイル抽出時に使用するパスをユーザーが指定したパスではなく、当該アーカイブ内で定義されたパスにするよう仕向けられるようになる。CVSS(v4)スコアが8.4と評価されるこの脆弱性は、7月31日にリリースされた最新版の7.13で修正されているという。

しかしCVE-2025-8088の発見者・報告者であるESETの研究者らは、パッチがリリースされる前から脅威アクターグループRomComと少なくとももう1組のロシア関連のグループがこの脆弱性をゼロデイとして悪用していたと指摘。同社によれば、RomComに関連するアクティビティの大半は7月18日から21日の間に起こり、それ以降同様の悪用行為は観測されていないという。これらの攻撃は、ヨーロッパおよびカナダの金融、製造、防衛、物流関連企業をスピアフィッシングメールで狙ったかなり的を絞った標的型攻撃だったとされる。

フィッシングメールは求人への応募書類に見せかけたもので、一見すると無害だが実際には多数の悪意ある代替データストリーム(ADSes)を含んだ履歴書ファイルが添付されている。ターゲットがこの履歴書を開くと、WinRARはすべてのADSesとともにファイルを解凍。またWindowsのスタートアップディレクトリには、永続性確立のための悪性LNKファイルがデプロイされる。このLNKのほか、RARファイルには必ずDLLまたはEXEが1件と、いくつかのRomComバックドアが含まれているという。これらのバックドアには、Mythicエージェント、SnipBotの亜種、RustyClawがあるとされる。

  • Mythicエージェント:この実行チェーンでは、RARファイルに含まれる有害DLL「msedge.dll」により、埋め込まれていたシェルコードが復号・実行される。また同DLLはターゲットマシンのドメイン名を取得してハードコードされた値と比較。一致しない場合は動作を終了することから、攻撃者が事前に偵察行為を行っている様子が伺える。ESETの攻撃者は、これにより「このEメールが高度に的を絞ったもの」だったことが裏付けられたと述べている。
  • SnipBotの亜種:この実行チェーンでは、有害LNKファイルにより実行ファイルApbxHelper.exeが実行される。これはPuTTYのフォークであるPuTTY CACを改変したもので、次段階のシェルコードを復号する役割を持つ。このシェルコードは、過去にUNIT 42(パロアルトネットワークス)によりRomComとの関連が指摘されたマルウェアSnipBotの亜種であるとみられる。同亜種は、ターゲットマシンで最近開かれたドキュメントの件数が69件以上ある場合にのみ実行されるという。これは、空の仮想マシンやサンドボックスでマルウェアが実行されるのを防ぐための興味深いアンチマルウェア解析手法だとされる。
  • RustyClaw:3つ目の実行チェーンでは、かつてCisco TalosによりRomComと関連付けられたダウンローダー「RustyClaw」が有害LNKにより実行される。RustyClawはRustで書かれたマルウェアで、別のペイロードをダウンロード・実行する。このペイロードは以前Proofpointにより行われたMeltingClawの分析結果と部分的に一致するもの。MeltingClawもRomComとの関連がすでに指摘されている。

RomComは標的とした組織を侵害することには成功しなかったとされるが、ロシアのサイバーセキュリティ企業BI.ZONEによると、別のグループPaper WerewolfもRomComと同時期にCVE‑2025‑8088を悪用していたという。BI.ZONEは、6月末にサイバー犯罪フォーラム上で「zeroplayer」と名乗る脅威アクターがWinRARのゼロデイエクスプロイトとされるものを80,000ドルで売りに出していたことも報告。このエクスプロイトがCVE‑2025‑8088に関連していた可能性が示唆されると指摘した上で、「Paper Werewolfがこれ(エクスプロイト)を入手して自らの攻撃で使うために改変した可能性がある」と述べた。Paper Werewolfが何件の攻撃を成功させたのかは不明だが、BI.ZONEは、今やこの脆弱性に関する情報は一般に公開されていることから、ほかの脅威アクターらも同エクスプロイトを悪用し始める可能性があるとして注意を呼びかけている。

関連記事

デイリーサイバーアラート

Silobreaker-CyberAlert

Windows

ウクライナ

FirefoxとWindowsのゼロデイをロシアハッカーRomComが悪用:CVE-2024-9680、CVE-2024-49039

佐々山 Tacos

佐々山 Tacos

2024.11.27

Silobreaker-CyberAlert

Windows

ウクライナ

【無料配布中レポート】

各種レポートを無料配布中!バナー画像よりダウンロード可能です。

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

ランサムウェアレポート:『2024 Ransomware? What Ransomware?』

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ