CVE-2025-8088として追跡されている最近修正されたWinRARの脆弱性が、RomComマルウェアをインストールするフィッシング攻撃においてゼロデイとして悪用されました。
この欠陥は、WinRAR 7.13で修正されたディレクトリトラバーサルの脆弱性であり、特別に細工されたアーカイブが攻撃者によって選択されたファイルパスにファイルを抽出することを可能にします。
「WinRAR 7.13の変更ログを読むと、「ファイルを抽出する際、以前のバージョンのWinRAR、WindowsバージョンのRAR、UnRAR、ポータブルUnRARソースコード、UnRAR.dllは、ユーザーが指定したパスの代わりに、特別に細工されたアーカイブで定義されたパスを使用するようにだまされる可能性があります。
「Unix バージョンの RAR、UnRAR、ポータブル UnRAR ソースコード、UnRAR ライブラリ(RAR for Android も同様)は影響を受けません。
この脆弱性を使用すると、攻撃者は、Windowsのスタートアップフォルダなどの自動実行パスに実行可能ファイルを展開するアーカイブを作成することができます:
APPDATA%Microsoft³³Windows³³Start MenuProgramsStartup (Local to user) %ProgramData%Microsoft³³Windows³³Start MenuProgramsStartUp (Machine-wide)
次にユーザーがログインすると、実行ファイルが自動的に実行され、攻撃者はリモートでコードを実行できる。
WinRARには自動アップデート機能がないため、この脆弱性から保護するために、すべてのユーザーがwin-rar.comから最新バージョンを手動でダウンロードし、インストールすることを強く推奨する。
ゼロデイ攻撃として悪用される
この脆弱性は、ESETのAnton Cherepanov氏、Peter Košinár氏、Peter Strýček氏によって発見され、Strýček氏は、マルウェアをインストールするフィッシング攻撃で積極的に悪用されていると述べている。
「ESETは、RARファイルを添付したスピアフィッシングメールを確認しています。
これらのアーカイブはCVE-2025-8088を悪用し、RomComのバックドアを提供していた。RomComはロシア系のグループである。
RomCom(Storm-0978、Tropical Scorpius、またはUNC2596としても追跡されている)は、ランサムウェアやデータ盗難恐喝攻撃、および認証情報を盗むことに焦点を当てたキャンペーンに関連するロシアのハッキンググループです。
このグループは、攻撃におけるゼロデイ脆弱性の使用や、データ窃盗攻撃、持続的攻撃、バックドアとして機能するカスタムマルウェアの使用で知られています。
RomComはこれまでにも、Cubaや Industrial Spyなど、数多くのランサムウェアの操作に関連しています。
ESETは、この悪用に関するレポートを作成中であり、後日公開する予定である。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
レッドレポート2025マルウェアの93%が使用するトップATT&CKテクニックの分析
パスワード・ストアを標的とするマルウェアが3倍に急増、攻撃者はステルス性の高いパーフェクト・ハイスト・シナリオを実行し、重要なシステムに侵入して悪用。
攻撃の93%を支えるMITREのATT&CK手法のトップ10とその防御方法をご覧ください。
Comments