WinRAR のパス・トラバーサル脆弱性 CVE-2025-8088:ロシア系脅威グループによる悪用が継続

Russia-Aligned Hackers Exploit Old WinRAR Vulnerability to Target Ukrainian Organizations

2026/06/15 gbhackers — 2025年7月の時点で修正された WinRAR のパス・トラバーサル脆弱性 CVE-2025-8088 は、ウクライナを標的とする複数の侵入グループにとって、依然として強力な初期アクセス・ベクターである。2026年4月までの攻撃分析によると、この脆弱性を悪用する少なくとも 2 つの異なるキャンペーンが確認されている。1 つは SHADOW-EARTH-066 と命名された侵入グループ (CERT-UA により UAC-0226 として追跡) に帰属するコンパイル済みスティーラー・チェーンであり、もう 1 つはロシア寄りの Earth Dahu (Gamaredon) が使用する HTA ベースのスパイ活動チェーンである。

両者とも新たなエクスプロイト・サンプルを継続的に生成しており、この記事の執筆時点でも Earth Dahu は活動を継続している。

この脆弱性は、RAR5 SERVICE ヘッダー内の NTFS Alternate Data Streams (ADS) を悪用し、パス・トラバーサル・シーケンスを埋め込むものである。WinRAR のバージョン 7.13 以前では、これらのシーケンスがサニタイズされていなかった。

細工されたアーカイブは、ユーザーには無害に見えるオトリ PDF を表示する一方で、抽出フォルダ外の場所 (通常は Windows Startup フォルダまたは C:\ProgramData) にペイロードを密かに書き込み、次回のログイン時に追加のユーザー操作なしで実行する仕組みを埋め込む。

How CVE-2025-8088 works: a RAR5 archive contains a visible decoy file and hidden ADS entries with path traversal sequences (Source : TrendAI).
How CVE-2025-8088 works: a RAR5 archive contains a visible decoy file and hidden ADS entries with path traversal sequences (Source : TrendAI).

このエクスプロイトのステルス性と、ウクライナの組織における WinRAR 脆弱性の広範な利用状況により、この手法はスパイ活動や認証情報窃取にとって魅力的であり、摩擦の少ない攻撃ベクターとなっている。

SHADOW-EARTH-066 のキャンペーンは、運用面での急速な成熟を示している。初期の活動では、マクロ対応 Excel ドロッパーと Telegram を利用した平文での情報流出が使用されていたが、TrendAI によると、この攻撃者は 2026年までに、脆弱性 CVE-2025-8088 を悪用する配信チェーンへと移行している。具体的には、LNK から PowerShell へ至るローダーや、自己削除前に認証情報とドキュメントを迅速に窃取するインメモリ DLL (result.dll) を利用するようになっている。

WinRAR 脆弱性の悪用

RAR アーカイブは、Startup フォルダ向けの LNK/C:\ProgramData 内の高度に難読化された PowerShell ローダー/エンコードされた DLL で構成される、3 つの ADS ペイロードを投下する。

SHADOW-EARTH-066 attack chain from CVE-2025-8088 exploitation to HTTPS exfiltration (Source : TrendAI).
SHADOW-EARTH-066 attack chain from CVE-2025-8088 exploitation to HTTPS exfiltration (Source : TrendAI).

DLL をデコードするローダーは、NtAllocateVirtualMemory/NtProtectVirtualMemory/NtCreateThreadEx といった NT システムコールを悪用してインメモリ・ロードを実行し、ユーザーモード API フックやファイルベースの検出を回避する。

以前の GIFTEDCROOK スティーラーを、さらに発展させた Result.dll は、x86-64 向けにコンパイルされている。libcurl を静的リンクする他に、Chromium ベースのブラウザ (新しい Chrome バージョン向けの App-Bound Encryption バイパスを含む)/Firefox/35 種類の拡張子を持つファイル・システム上のドキュメントを標的としている。

解析回避技術には、FNV-1a ハッシュを利用した PEB ウォークによる API 解決/二重 RC4 暗号化された文字列テーブル/恒等関数パディング/PRNG ベースの遅延が含まれる。

データ流出では、二重 RC4 暗号化を施した後に、専用の C&C サーバへ HTTPS POST を送信し、その後にステージング・アーティファクトを削除することでフォレンジック上の痕跡を最小限に抑える。From ヘッダーは、ウクライナの法執行機関を偽装していたが、DMARC 検証は失敗し、DKIM 署名も存在しなかった。

Example spear-phishing email from a compromised regional government account (Source : TrendAI).
 Example spear-phishing email from a compromised regional government account (Source : TrendAI).

Earth Dahu による CVE-2025-8088 の悪用は、SHADOW-EARTH-066 とは異なるスクリプト中心のモデルを採用している。RAR アーカイブは、単一の HTA または難読化された VBS/VBE ダウンローダーを Startup フォルダへ投下し、ログイン時の mshta.exe による実行へと繋げる。

この HTA チェーンは、Dynamic DNS や Cloudflare Workers 経由でプロキシされることが多い、攻撃者が管理するリソースから VBScript を読み込み、GammaSteel ローダーや第三者のツールといった、スパイ活動モジュールを取得する。

Earth Dahu は、C&C URL 内の HTTP Basic Authentication の “@” 記法を悪用し、信頼されているウクライナのドメインを偽装することで、裁判所からの召喚状や政府機関の文書を装うルアーを配布している。一部のチェーンには “Startup..\Startup” という追加のパス・バリエーションが含まれており、検出ルールの回避を目的としている可能性がある。

前述のとおり、CVE-2025-8088 は 2025年7月に修正されているが、WinRAR にはエンタープライズ向け更新メカニズムが存在しないため、実運用環境で依然として悪用され続けている。Group Policy のサポートがなく、WSUS/SCCM/Intune との統合も行われておらず、多くの環境で自動更新も利用できない。その結果、広く導入されながら更新頻度の低いユーティリティ・アプリとなり、悪用可能な脆弱性が蓄積し続けるという持続的な盲点が生じている。

Sandworm/Turla/Void Rabisu などのロシア由来のグループも、この脆弱性を悪用していることが確認されており、その運用上の価値が浮き彫りになっている。

対策の優先順位は明確である。WinRAR のバージョンを確認し、ADS パス・トラバーサルが修正された 7.13 以降へ更新することが重要である。また、メール・ゲートウェイで オトリ付き RAR 添付ファイルなどの一般的な悪用パターンをブロックし、アプリケーション許可リストを適用するとともに、NT システムコール・シーケンスによるインメモリ・ロードを検出できるエンドポイント検出ソリューションを導入する必要がある。

さらに、ユーザー組織はサードパーティ製ユーティリティのインベントリを実施し、一元的なパッチ適用または補完的な制御を導入することで、CVE-2025-8088 が露呈している恒常的な盲点を解消すべきである。

侵害インジケータ
TacticTechniqueIDCampaign
Initial AccessSpearphishing AttachmentT1566.001Earth Dahu
ExecutionUser Execution: Malicious FileT1204.002Both
ExecutionPowerShellT1059.001SHADOW-EARTH-066
PersistenceStartup FolderT1547.001Earth Dahu
Defense EvasionNTFS File AttributesT1564.004Both
Defense EvasionObfuscated Files or InformationT1027SHADOW-EARTH-066
Defense EvasionReflective Code LoadingT1620SHADOW-EARTH-066
Defense EvasionMasqueradingT1036Both
Defense EvasionSandbox EvasionT1497SHADOW-EARTH-066
Defense EvasionIndicator Removal: File DeletionT1070.004SHADOW-EARTH-066
Credential AccessWeb Browser CredentialsT1555.003SHADOW-EARTH-066
Credential AccessSteal Web Session CookieT1539SHADOW-EARTH-066
CollectionData from Local SystemT1005SHADOW-EARTH-066
ExfiltrationExfiltration Over C&C ChannelT1041SHADOW-EARTH-066
C&CWeb ProtocolsT1071.001Both
C&CEncrypted ChannelT1573.001SHADOW-EARTH-066
ImpactData DestructionT1485Earth Dahu (reported by ClearSky)

訳者後書:今回の攻撃で悪用された脆弱性 CVE-2025-8088 は、古いバージョンの WinRAR が特定のヘッダー内にある、パス・トラバーサル・シーケンスに対する不適切なサニタイズに起因します。これにより、ユーザーが気づかないうちに、重要なフォルダに不正なファイルが書き込まれてしまいます。この問題が現在も深刻な脅威となっている背景には、WinRAR に企業向けの統合管理や自動更新の仕組みが備わっていないという運用上の課題があります。多くの環境でアップデートが手動に頼らざるを得ないため、修正パッチが公開されているにもかかわらず、古いバージョンのまま放置されてしまうという持続的な盲点が生まれています。ご利用のチームは、ご注意ください。よろしければ、WinRAR での検索結果も、ご参照ください。