CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している

更新情報：本記事は2025年8月11日付のESETリサーチの知見を反映し、新たに判明した攻撃フローの詳細を追記しています。

夏が最盛期を迎える中、サイバー脅威の状況も急速に激化しています。先日公開されたCVE-2025-8292、ChromeのMedia Streamに存在するUse-After-Free脆弱性に続き、セキュリティ研究者はWinRARの新たなゼロデイ脆弱性を悪用した攻撃を確認しました。これによりRomComマルウェアが配信されています。

CVE-2025-8088として追跡されるこのWindows版WinRARのパストラバーサル脆弱性により、攻撃者は悪意あるアーカイブファイルを作成することで任意のコードを実行可能です。正確な攻撃手法や背後にいる脅威アクターはまだ不明ですが、RomComバックドアの使用はロシア起源のハッカー集団が関与している可能性を示唆しています。

RomCom配信のためのCVE-2025-8088悪用試行の検出

今年、NISTには29,000件以上の新たな脆弱性が登録されており、サイバーセキュリティチームの競争は激化しています。脆弱性の悪用は依然として主要な攻撃手法であり、脅威の高度化に伴い、攻撃面を減らしリスクを軽減するためにプロアクティブな検出が不可欠です。

SOC Primeプラットフォームに今すぐ登録すれば、コンテキストが強化された検出ルールとAI駆動の脅威インテリジェンスを活用でき、最新のWinRARゼロデイ悪用によるRomCom配信に対応した検出を含む充実したライブラリを利用可能です。AI検出エンジニアリング、脅威ハンティングの自動化、高度な脅威検出を提供する完全な製品群も備えています。以下の検出を探索するボタンから該当の検出スタックをご覧ください。

検出を探索する

サイバー防御担当者は「RomCom」でThreat Detection Marketplaceを検索し、より最適化されたコンテンツを探すことも可能です。脆弱性悪用に関する幅広い検出ルールを確認する場合は「CVE」タグを適用してください。

さらに、セキュリティ専門家はUncoder AIを活用して、脅威情報に基づく検出エンジニアリングを効率化できます。未加工の脅威レポートから検出アルゴリズムを生成し、IOC（Indicator of Compromise）スイープを高速化、ATT&CKタグ予測、AIによるクエリコードの最適化、多数のSIEM、EDR、データレイク言語への翻訳が可能です。たとえば最新のBleeping Computerの記事を元にCVE-2025-8088の攻撃フロー図を数クリックで生成できます。また、ESETのGitHubリポジトリからIOCを取得し、任意のSIEMやEDR環境向けのカスタムIOCクエリへ変換して即座にRomCom関連脅威のハンティングが可能です。

CVE-2025-8088の詳細解析

セキュリティ研究者によると、WinRARの脆弱性CVE-2025-8088はゼロデイとして標的型フィッシングキャンペーンで積極的に悪用され、RomComマルウェアの拡散に利用されています。このパストラバーサル脆弱性はWindows版WinRARに影響し、悪意あるアーカイブを作成することで任意コードの実行を許してしまいます。

公式アドバイザリによれば、Windows版RAR、UnRAR、ポータブル版UnRARソースコード、UnRAR.dllを含む旧バージョンのWinRARは、ファイル展開時に意図されたパスではなく悪意あるパスを利用されてしまう問題があります。これにより、攻撃者は不正な場所にファイルを配置可能です。

特に、攻撃者はアーカイブ内に悪意のある実行ファイルを配置し、ユーザー固有の%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startupや、システム全体の%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUpといった自動起動フォルダに配置できます。これにより次回ログイン時にマルウェアが自動実行され、RomComバックドアの遠隔コード実行が可能となります。

なお、Unix版RAR、UnRAR、ポータブル版UnRARソースコード、UnRARライブラリ、Android版RARはこの脆弱性の影響を受けません。

RomComマルウェアファミリーは、UAT-5647、Storm-0978、Tropical Scorpius、UAC-0180、UNC2596など複数の別名で知られるロシア起源のハッカー集団に関連付けられています。このグループは悪名高いCubaランサムウェアの背後にもいると考えられており、2019年以降活動を続け、RomCom RATやSystemBCを含む多様なマルウェアを展開しています。2022年にはウクライナ政府機関を標的にRomComバックドアを使用した攻撃も観測され、モスクワ政府のサイバー諜報活動との関連が示唆されています。

本脆弱性はESETのAnton Cherepanov氏、Peter Košinár氏、Peter Strýček氏によって発見され、ベンダーへ報告されました。最新のESETレポートでは、既知のRomComマルウェア亜種であるMythic Agent、SnipBot、MeltingClawを配信する3つの異なる攻撃チェーンが確認されています。Mythic Agentの実行は、COMハイジャックレジストリにDLLを追加するUpdater.lnk経由でトリガーされます。msedge.dllはAESで暗号化されたシェルコードを復号し、システムのドメインがハードコードされた値と一致した場合にのみMythicエージェントを起動し、C2通信、コマンド実行、ペイロード配信を行います。

SnipBotマルウェア配布の別の感染チェーンは、無効な証明書を持つ改変PuTTY CACビルドのApbxHelper.exeをDisplay Settings.lnkから実行することで始まります。これは最近開いたドキュメントを69件以上チェックし、その後攻撃者管理サーバーから追加ペイロードを取得するシェルコードを復号します。

MeltingClawマルウェア配信に関連する3つ目の実行フローはSettings.lnkを介し、RustyClawと呼ばれるComplaint.exeを起動します。これによりMeltingClaw DLLがダウンロードされ、攻撃者のインフラから悪意あるモジュールが取得・実行されます。

この問題は2025年7月30日にリリースされたWinRARバージョン7.13で修正されているため、ユーザーは速やかに安全なバージョンへのアップグレードが推奨されます。また、攻撃者に先手を打ち、脆弱性悪用の兆候を検知するために、セキュリティチームはSOC PrimeのAI搭載製品群に依存して組織の防御力を強化することが可能です。