フォローする
概要
Google の脅威インテリジェンス グループは、重大なWinRARのパス トラバーサルの脆弱性であるCVE-2025-8088の広範囲な悪用を報告しています。攻撃者はこれを利用してWindowsのスタートアップ フォルダに不正なファイルを配置し、永続性を得ようとしています。国家支援および経済的動機を持つグループの両方がこのエクスプロイトを利用してRAT、ダウンローダー、および後続のペイロードを配信しています。レポートは、インジケーターと検出および緩和指針を共有しています。
調査
研究者たちは、UNC4895、APT44、Turla、そして中国を拠点とするグループを、Alternate Data Streams (ADS) を悪用してLNK、HTA、またはBATファイルをスタートアップにドロップするRARアーカイブに結び付けました。一部のアーカイブはログオン時にHTAやBATを起動するLNKハンドラを準備していました。観察されたマルウェアファミリーにはNESTPACKER、POISONIVY、XWorm、およびAsyncRATが含まれています。ウクライナや他の地域を狙ったキャンペーン全体で、共有インフラストラクチャと再利用されたエクスプロイト コードが確認されました。
緩和策
WinRARを7.13以上にアップグレードし、アプリケーション許可リストを施行してください。可能な限りADSの露出を減らし、スタートアップフォルダを新しいLNK、HTA、BAT、またはスクリプト ファイルについて監視してください。不正なアーカイブを早期に阻止するためにGoogle Safe Browsingとメールのセキュリティ制御を適用してください。
対策
特にショートカットやスクリプトを含むRAR抽出に紐づくスタートアップ パスファイルの作成を検出してください。既知のファイル名とハッシュと警告を相関させ、影響を受けたホストを隔離し、マルウェアファミリーを確認し、インシデントレスポンス中にスタートアップの持続性を取り除きます。
“graph TB %% Class definitions classDef technique fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ccffcc classDef tool fill:#cccccc %% Node definitions tech_phishing[“<b>Technique</b> – <b>T1566.001 Spearphishing Attachment</b><br/>攻撃者は悪意のあるRARアーカイブを電子メールで送信します”] class tech_phishing technique file_rar[“<b>File</b> – <b>Name</b>: malicious.rar<br/>デコイPDFとADSペイロードを含む”] class file_rar file tech_user_exec[“<b>Technique</b> – <b>T1204.002 User Execution</b><br/>被害者がRARを開いて抽出が行われる”] class tech_user_exec technique file_ads[“<b>File</b> – <b>Type</b>: Alternate Data Stream (ADS)<br/>ペイロード: innocuous.pdf:malicious.lnk”] class file_ads file tech_exploit[“<b>Technique</b> – <b>T1203 Exploitation for Client Execution</b><br/>CVE-2025-8088パス トラバーサルを使って.lnkを書き込みます”] class tech_exploit technique file_lnk[“<b>File</b> – <b>Name</b>: malicious.lnk<br/>Windowsのスタートアップ フォルダに配置”] class file_lnk file tech_persistence[“<b>Technique</b> – <b>T1547.009 Shortcut Modification</b><br/>スタートアップ内のショートカットが持続性を提供”] class tech_persistence technique tech_cmd[“<b>Technique</b> – <b>T1059.003 Command Shell</b><br/>バッチまたは.cmdスクリプトが追加のペイロードをダウンロード”] class tech_cmd technique tool_ratrat[“<b>Tool</b> – <b>Name</b>: XWorm / AsyncRAT<br/>リモート アクセス トロイの木馬”] class tool_ratrat tool tech_mshta[“<b>Technique</b> – <b>T1218.005 Mshta Proxy Execution</b><br/>HTAファイルがmshta.exeを介して起動されます”] class tech_mshta technique file_hta[“<b>File</b> – <b>Name</b>: payload.hta<br/>mshtaで実行される”] class file_hta file process_mshta[“<b>Process</b> – <b>Name</b>: mshta.exe<br/>HTAファイルを実行する”] class process_mshta process %% Connections showing attack flow tech_phishing u002du002d>|delivers| file_rar file_rar u002du002d>|extracted by| tech_user_exec tech_user_exec u002du002d>|creates| file_ads file_ads u002du002d>|used by| tech_exploit tech_exploit u002du002d>|writes| file_lnk file_lnk u002du002d>|enables| tech_persistence tech_persistence u002du002d>|triggers| tech_cmd tech_cmd u002du002d>|downloads| tool_ratrat tech_cmd u002du002d>|drops| file_hta tech_cmd u002du002d>|launches| tech_mshta tech_mshta u002du002d>|executes| file_hta file_hta u002du002d>|run by| process_mshta process_mshta u002du002d>|executes| tech_mshta “
攻撃フロー
検出
アーカイブから抽出された疑わしいファイル (via file_event)
表示
自動起動場所にある疑わしいバイナリ / スクリプト (via file_event)
表示
可能性のあるCVE-2025-8088 / CVE-2025-6218 (WinRARの脆弱性) 悪用の試み (via file_event)
表示
IOC (HashSha256) を検出する: 多様な脅威アクターがWinRARの重大な脆弱性CVE-2025-8088を悪用 パート2
表示
IOC (HashSha256) を検出する: 多様な脅威アクターがWinRARの重大な脆弱性CVE-2025-8088を悪用 パート1
表示
持続性のためWinRARアーカイブ内の悪意のあるLNKファイルの検出 [Windowsファイルイベント]
表示
WinRARアーカイブ内でCVE-2025-8088を悪用する悪意のあるLNKファイルの検出 [Windowsファイルイベント]
表示
シミュレーション実行
前提条件: テレメトリ & ベースラインプレフライトチェックはパスしなければなりません。
理由: このセクションでは、検出ルールをトリガーするために設計された敵技術(TTP)の正確な実行について説明しています。コマンドと物語は、識別されたTTPを直接反映し、検出ロジックが期待する正確なテレメトリを生成することを目的としています。
-
攻撃の物語とコマンド:
攻撃者は、不正なWindowsショートカット(malicious.lnk)を無害に見えるPDFに添付されたAlternate Data Streamとして埋め込んだ悪意のあるRARアーカイブを作成します(innocuous.pdf)。CVE-2025-8088を利用して、攻撃者はWinRARがストリーム名を無害化せずにターゲット パスに直接ADSを抽出することを知っています。アーカイブは被害者のマシンに配信され(例:フィッシング経由)、攻撃者は現在のユーザーのスタートアップ フォルダにペイロードを直接抽出するためにWinRARをサイレントモードで実行し、永続性を達成します。- 悪意のあるLNKペイロードを作成します (
cmd.exe /c calc.exe). - を起動するショートカット
innocuous.pdfをRAR内の - にAs ADSとして添付します。 被害者にRARを配信します。
- スタートアップディレクトリへのWinRAR抽出を実行します。 回帰テスト スクリプト:
- 悪意のあるLNKペイロードを作成します (
-
# ————————————————————– # CVE‑2025‑8088 LNK‑ADSの持続性をシミュレーションするPowerShellスクリプト # ————————————————————– # 1. Variables $tempDir = “$envTEMPLNK_ADS_Test” $pdfPath = “$tempDirinnocuous.pdf” $lnkPath = “$tempDirmalicious.lnk” $rarPath = “$tempDirmalicious.rar” $startupPath = “$envAPPDATAMicrosoftWindowsStart MenuProgramsStartup” # Ensure clean workspace Remove-Item -Recurse -Force $tempDir -ErrorAction SilentlyContinue New-Item -ItemType Directory -Path $tempDir | Out-Null # 2. 空のファイルとしてダミーのPDFを作成(ADSデモ用に機能) New-Item -ItemType File -Path $pdfPath | Out-Null # 3. 計算機を指す悪意のあるLNKを作成 $ws = New-Object -ComObject WScript.Shell $shortcut = $ws.CreateShortcut($lnkPath) $shortcut.TargetPath = “calc.exe” $shortcut.WindowStyle = 1 $shortcut.Save() # 4. WinRAR CLIを使用してPDFをパックしてLNKをADSとして添付 # “malicious.lnk”というADSがPDFに添付される構文を作成します。 & “C:Program FilesWinRARWinRAR.exe” a -df $rarPath $pdfPath “$lnkPath:malicious.lnk” # 5. スタートアップフォルダにRARを直接抽出(サイレント モード) & “C:Program FilesWinRARWinRAR.exe” x -inul $rarPath $startupPath # 6. LNKが現在スタートアップに存在することを確認します(通常の.lnkとして表示されます) $extractedLnk = Join-Path $startupPath “malicious.lnk” if (Test-Path $extractedLnk) { Write-Host “[+] スタートアップに悪意の指示を配置しました: $extractedLnk” } else { Write-Error “[-] ショートカットが見つかりまisせん – 抽出に失敗した可能性があります。” } # ————————————————————– # スクリプト終了 # ————————————————————–
# -------------------------------------------------------------- # PowerShell script to simulate CVE‑2025‑8088 LNK‑ADS persistence # -------------------------------------------------------------- # 1. Variables $tempDir = "$envTEMPLNK_ADS_Test" $pdfPath = "$tempDirinnocuous.pdf" $lnkPath = "$tempDirmalicious.lnk" $rarPath = "$tempDirmalicious.rar" $startupPath = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartup" # Ensure clean workspace Remove-Item -Recurse -Force $tempDir -ErrorAction SilentlyContinue New-Item -ItemType Directory -Path $tempDir | Out-Null # 2. Create a dummy PDF (empty file works for ADS demonstration) New-Item -ItemType File -Path $pdfPath | Out-Null # 3. Create malicious LNK pointing to calculator $ws = New-Object -ComObject WScript.Shell $shortcut = $ws.CreateShortcut($lnkPath) $shortcut.TargetPath = "calc.exe" $shortcut.WindowStyle = 1 $shortcut.Save() # 4. Pack PDF and attach LNK as ADS using WinRAR CLI # The syntax creates an ADS named "malicious.lnk" attached to the PDF. & "C:Program FilesWinRARWinRAR.exe" a -df $rarPath $pdfPath "$lnkPath:malicious.lnk" # 5. Extract RAR directly to the Startup folder (silent mode) & "C:Program FilesWinRARWinRAR.exe" x -inul $rarPath $startupPath # 6. Verify that the LNK now exists in Startup (will be visible as a regular .lnk) $extractedLnk = Join-Path $startupPath "malicious.lnk" if (Test-Path $extractedLnk) { Write-Host "[+] Malicious shortcut deployed to Startup: $extractedLnk" } else { Write-Error "[-] Shortcut not found – extraction may have failed." } # -------------------------------------------------------------- # End of script # -------------------------------------------------------------- -
クリーンアップ コマンド:
# スタートアップから悪意のあるショートカットを削除 $lnk = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.lnk" if (Test-Path $lnk) { Remove-Item -Force $lnk } # 一時ファイルとディレクトリを削除 $temp = "$envTEMPLNK_ADS_Test" if (Test-Path $temp) { Remove-Item -Recurse -Force $temp }
報告終了