WinRARのゼロデイ、ロシアアクターRomComとPaper Werewolfに悪用される：CVE-2025-8088

WinRARのゼロデイ、ロシアアクターRomComとPaper Werewolfに悪用される：CVE-2025-8088

The Register – Aug 11, 2025

圧縮データを管理するための圧縮・解凍ユーティリティWinRARの脆弱性CVE-2025-8088は、ロシアのハッカーRomComおよび少なくとももう1組のロシア関連ハッカーグループにゼロデイとして悪用されていたという。サイバーセキュリティ企業ESETが報告した。

CVE-2025-8088は、WinRAR、Windows版RAR、UnRAR、ポータブルUnRARソースコード、UnRAR.dllに影響を与えるパストラバーサルの脆弱性。攻撃者は特別に細工されたアーカイブを使ってこれを悪用することで、ファイル抽出時に使用するパスをユーザーが指定したパスではなく、当該アーカイブ内で定義されたパスにするよう仕向けられるようになる。CVSS（v4）スコアが8.4と評価されるこの脆弱性は、7月31日にリリースされた最新版の7.13で修正されているという。

しかしCVE-2025-8088の発見者・報告者であるESETの研究者らは、パッチがリリースされる前から脅威アクターグループRomComと少なくとももう1組のロシア関連のグループがこの脆弱性をゼロデイとして悪用していたと指摘。同社によれば、RomComに関連するアクティビティの大半は7月18日から21日の間に起こり、それ以降同様の悪用行為は観測されていないという。これらの攻撃は、ヨーロッパおよびカナダの金融、製造、防衛、物流関連企業をスピアフィッシングメールで狙ったかなり的を絞った標的型攻撃だったとされる。

フィッシングメールは求人への応募書類に見せかけたもので、一見すると無害だが実際には多数の悪意ある代替データストリーム（ADSes）を含んだ履歴書ファイルが添付されている。ターゲットがこの履歴書を開くと、WinRARはすべてのADSesとともにファイルを解凍。またWindowsのスタートアップディレクトリには、永続性確立のための悪性LNKファイルがデプロイされる。このLNKのほか、RARファイルには必ずDLLまたはEXEが1件と、いくつかのRomComバックドアが含まれているという。これらのバックドアには、Mythicエージェント、SnipBotの亜種、RustyClawがあるとされる。

• Mythicエージェント：この実行チェーンでは、RARファイルに含まれる有害DLL「msedge.dll」により、埋め込まれていたシェルコードが復号・実行される。また同DLLはターゲットマシンのドメイン名を取得してハードコードされた値と比較。一致しない場合は動作を終了することから、攻撃者が事前に偵察行為を行っている様子が伺える。ESETの攻撃者は、これにより「このEメールが高度に的を絞ったもの」だったことが裏付けられたと述べている。
• SnipBotの亜種：この実行チェーンでは、有害LNKファイルにより実行ファイルApbxHelper.exeが実行される。これはPuTTYのフォークであるPuTTY CACを改変したもので、次段階のシェルコードを復号する役割を持つ。このシェルコードは、過去にUNIT 42（パロアルトネットワークス）によりRomComとの関連が指摘されたマルウェアSnipBotの亜種であるとみられる。同亜種は、ターゲットマシンで最近開かれたドキュメントの件数が69件以上ある場合にのみ実行されるという。これは、空の仮想マシンやサンドボックスでマルウェアが実行されるのを防ぐための興味深いアンチマルウェア解析手法だとされる。
• RustyClaw：3つ目の実行チェーンでは、かつてCisco TalosによりRomComと関連付けられたダウンローダー「RustyClaw」が有害LNKにより実行される。RustyClawはRustで書かれたマルウェアで、別のペイロードをダウンロード・実行する。このペイロードは以前Proofpointにより行われたMeltingClawの分析結果と部分的に一致するもの。MeltingClawもRomComとの関連がすでに指摘されている。

RomComは標的とした組織を侵害することには成功しなかったとされるが、ロシアのサイバーセキュリティ企業BI.ZONEによると、別のグループPaper WerewolfもRomComと同時期にCVE‑2025‑8088を悪用していたという。BI.ZONEは、6月末にサイバー犯罪フォーラム上で「zeroplayer」と名乗る脅威アクターがWinRARのゼロデイエクスプロイトとされるものを80,000ドルで売りに出していたことも報告。このエクスプロイトがCVE‑2025‑8088に関連していた可能性が示唆されると指摘した上で、「Paper Werewolfがこれ（エクスプロイト）を入手して自らの攻撃で使うために改変した可能性がある」と述べた。Paper Werewolfが何件の攻撃を成功させたのかは不明だが、BI.ZONEは、今やこの脆弱性に関する情報は一般に公開されていることから、ほかの脅威アクターらも同エクスプロイトを悪用し始める可能性があるとして注意を呼びかけている。

【無料配布中！】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

目次

• 序論
• ハクティビズム
  • ハクティビズムの変遷
  • 戦争におけるハクティビズム
  • 「選挙イヤー」におけるハクティビズム
  • 絡み合う動機
  • 国家の支援を受けたハッカー集団
• 偽情報
  • 国家間対立
  • 偽情報とロシア・ウクライナ戦争
  • 偽情報とイスラエル・ハマス戦争
  • 偽情報と選挙が世界にあふれた2024年
• 国家型APTの活動
  • 中国
  • ロシア
  • 北朝鮮
  • イラン
• マルチチャネルインテリジェンスの運用化における課題と関連リスク