New Hacking Campaign Exploits Microsoft Windows WinRAR Vulnerability
2026/02/05 InfoSecurity — Microsoft Windows 版 WinRAR において、新たに開示されたセキュリティ脆弱性が、わずか数日で悪用されたハッキング・キャンペーンについて、Check Point の研究者が詳細を明らかにした。この攻撃者が悪用したのは、広く利用されているアーカイブ/圧縮・ソフトウェア WinRAR に存在する、パス・トラバーサルの脆弱性 CVE-2025-8088 である。この脆弱性は 2025年8月に初めて開示されたものだ。
Check Point によるキャンペーン分析で示唆されるのは、脆弱性の公開から数日以内に、攻撃者が実際に悪用を開始していたことである。
脆弱性 CVE-2025-8088 を悪用する攻撃者は、細工された悪意のアーカイブ・ファイルを作成することで、任意のコード実行を可能にする。そのコードを実行した攻撃者は、標的マシン上で永続性を維持し、利用者を密かに監視しながら機微なデータの収集を可能にする。
攻撃者が用いた手法の一つが、Havoc Framework の展開である。このソフトウェアは、正規のペンテストやレッドチーム演習で使用される、オープンソースの Command and Control (C&C) プラットフォームである。つまり、正規のツールであるため、セキュリティ・アラートで検知されない可能性がある。
標的型ルアーが示すサイバー諜報キャンペーン
Check Point の研究者は、これらの攻撃が、東南アジアの政府機関および法執行機関に焦点を当てた点を指摘している。それにより示唆されるのは、地政学的目的で情報収集を行う、サイバー諜報キャンペーンである。
この攻撃者は、標的国や地域における政治的/経済的/軍事的動向 (政府職員の給与発表や地域合同演習など) に基づき、ルアーの適用範囲を最適化していたとみられる。
これらのキャンペーンは高度に制御されて設計されていた。攻撃インフラは特定の標的国の被害者のみと通信するよう設定されており、想定外の対象への露出を抑えることで、秘匿性を維持していた。
フィッシング・メールを通じて一連のルアーが配布され、正規のクラウド・ストレージ・サービス上にホストされた、悪意ある WinRAR ファイルへと誘導していたと、Check Point は判断している。
このキャンペーンについて研究者たちは、 Amaranth-Dragon と名付けられたグループによるものと結論付けた。Amaranth-Dragon が用いるツール/技術/手順は、中国政府系とされる著名なサイバー・ハッキング・グループ APT 41 と極めて似ている。
Check Point Research はブログ投稿で、「脆弱性 CVE-2025-8088 を悪用した Amaranth-Dragon のキャンペーンは、新たに開示された脆弱性が、高度な脅威アクターにより迅速に武器化されるという、最近の傾向を浮き彫りにしている。これらの攻撃行動が強く示しているのは、迅速な脆弱性管理、利用者の意識向上、そして多層防御戦略の重要性である」と述べている
ネットワークおよび利用者を保護するために、特に政府機関や重要インフラ分野の組織に推奨されるのは、脆弱性パッチの適用を最優先とし、不審なアーカイブ・ファイルを継続的に監視することである。
この問題の原因は、世界的に普及している圧縮/解凍ソフト WinRAR が、圧縮ファイル内の名前を処理する際に、本来書き込んではいけない場所へのアクセスを制限しきれていなかったことにあります。Check Pointの研究者によると、この脆弱性は公開からわずか 10日足らずで、高度な技術を持つ攻撃グループにより武器化されました。また、この攻撃では、正規のクラウド・サービスと正規のツールが組み合わされ、巧妙に隠蔽されていたことで、ウイルス対策ソフトだけでは防ぎきれない場合がありました。今回のケースは、脆弱性が公表されてから数日以内には実際の攻撃が始まるという、現代のサイバー脅威のスピード感を示しています。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-8088 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.