政府機関を標的とする Gamaredon のフィッシング活動：WinRARの脆弱性 CVE-2025-8088 を悪用

Gamaredon Phishing Campaign Exploits WinRAR Vulnerability to Target Government Agencies

2025/10/28 gbhackers — WinRAR の深刻なパス・トラバーサル脆弱性 CVE-2025-8088 を悪用する悪名高い脅威グループ Gamaredon が、政府機関を標的とする巧妙なフィッシング攻撃キャンペーンを展開していると、Gen Threat Labs のサイバー・セキュリティ研究者たちが明らかにした。この攻撃者が用いる手口は、無害に見える PDF 文書を開かせるだけで、悪意のペイロードを密かに展開するという、武器化された RAR アーカイブの配布である。

この攻撃手法が示すのは、Gamaredon の TTP (tactics, techniques, and procedures) における懸念すべき進化である。具体的に言うと、パス・トラバーサル脆弱性 CVE-2025-8088 を悪用する攻撃者は、想定される解凍先を回避して被害者の任意の場所にファイルを書き込み、HTA (HTML アプリケーション) マルウェアを Windows のスタートアップ・フォルダへ自動的に配置するという、武器化された RAR アーカイブを作成している。

WinRAR は政府や企業の環境で広く使用されているため、この悪意の RAR アーカイブは重大な脅威ベクターとなる。前述の通り、被害者がアーカイブ内の無害に見える PDF 文書を開くだけで、悪意の HTA ファイルが Windows のスタートアップ・フォルダへ密かに配置される。

このマルウェアは、システムの再起動時において自動的に実行されるため、標的とするネットワーク内で疑念を持たれることなく、攻撃者は基盤を構築できる。それにより、侵害されたシステムが永続的に存在することになる。

WinRAR の脆弱性

Gamaredon (別名 Primitive Bear／Shuckworm) は、東欧の政府機関や重要インフラ組織を一貫して標的としている。今回のキャンペーンも、同グループの特徴である積極的な標的攻撃パターンを踏襲しており、ソーシャル・エンジニアリング戦術とエクスプロイトを組み合わせることで、高い価値を持つ標的を侵害している。

この脅威アクターは、公文書／政策更新／緊急連絡などを装うことで、政府職員を騙すように設計された説得力のあるフィッシング詐欺を多用するという。こうした欺瞞的な手法は人間の心理を悪用するものであり、セキュリティ意識向上トレーニングを受けている職員であっても、不審な添付ファイルを開いてしまう可能性が高いとされる。

セキュリティ研究者が特定したものには、このキャンペーンに関連する３種類の HTA マルウェア・サンプルがある。これらのサンプルは、複数の標的に対して組織的に展開されていることを示す特徴を有している。さらなる分析の結果として判明したのは、これらの HTA ファイルはダウンローダーまたは初期アクセス・ツールとして機能し、追加ペイロードの取得や機密情報窃取のための C2 (Command-And-Control) 通信を確立することである。

最新のセキュリティ・パッチを適用していない組織は、差し迫ったリスクに直面している。さらに、この脆弱性の性質上、攻撃者はファイルの抽出のみでコード実行を達成できるため、圧縮アーカイブを日常的に扱う環境は、きわめて危険な状況にある。

緩和策

政府機関をはじめとする組織にとって必要なことは、CVE-2025-8088 に対応する最新のパッチを、WinRAR インストールに対して直ちに適用することだ。

セキュリティ・チームに必要なことは、特に公式文書を装う疑わしい RAR アーカイブを検出／隔離するために、強化されたメール・フィルタリング・ルールを導入することだ。それに加えて、EDR (Endpoint detection and response) の設定により、スタートアップ・フォルダ内での予期しない HTA ファイルの作成を監視し、侵入の初期段階を検知すべきである。

さらに、組織に対して強く推奨されるのは、信頼できる送信元からのように見えるケースであっても、予期しない添付ファイルを開くことで生じるリスクを、従業員に周知するためのセキュリティ意識向上トレーニングを強化することである。

ネットワーク防御担当者にとって必要なことは、このキャンペーンに関連する侵害の兆候をシステムログで精査し、検出した不審なアクティビティを迅速かつ徹底的に調査することだ。

Gamaredon による侵害活動は、継続的に観測されている。したがって、このキャンペーンについては、単発のインシデントではなく持続的な脅威活動であると捉え、セクター全体で警戒を一層強化する必要がある。

WinRAR のパス・トラバーサルの脆弱性 CVE-2025-8088 を悪用する脅威アクターは、想定外の場所へファイルを書き込むことが可能とされます。無害に見える PDF をルアーにする攻撃者は、HTA をスタートアップに置く RAR を作り、再起動時に自動実行させます。解凍や閲覧だけで成立して追加操作が要らないため発見が難しいと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-8088 で検索を、ご参照ください。