Hackers Exploit WinRAR CVE-2025-8088 to Plant Startup Shortcut and Run PowerShell Loader
2026/06/26 gbhackers — WinRAR のパストラバーサルの脆弱性 CVE-2025-8088 を武器化するハッカーたちが、Startup ショートカットを密かに設置している。このキャンペーンでは、ヘッダーレスでリフレクティブ・ロードされる PE (Portable Executable) をメモリ上にマッピングするという、多段階の PowerShell ローダーが実行されている。

このキャンペーンは、過去の UAC-0226/GIFTEDCROOK 活動で確認された、ウクライナの偵察をテーマとする誘導文書が再利用されているが、その運用パッケージは大幅に進化している。攻撃者たちが悪用するのは NTFS Alternate Data Streams (ADS) であり、可視化されたショートカットをユーザーに起動させるという方式は、もはや用いられていない。
PowerShellローダーの難読化
具体的には、RAR アーカイブ内の ADS を悪用して、.lnk ファイルを現行ユーザーの Startup フォルダへ直接書き込み、エンコード済みの 2 段階コンポーネントを C:\ProgramData に設置する。
被害者が次にログインすると、設置されたショートカットが最小化された CMD を起動する。これにより、隠された PowerShell プロセスが生成され、C:\ProgramData\WC3 からステージング済みスクリプトが IEX で実行される。そのため、実行時における、リモートからのダウンロードは不要となる。
PowerShell ステージ (WC3) は、意図的な大量のノイズである、数千個のジャンク関数/ランダムな識別子/Write-Host 呼び出しを含むものとなっている。
しかし、その内部には小規模な実行コアが存在する。このコアは、60 秒間にわたって待機した後に、各バイトから 0x48 を減算することで、1,131,008 バイトの blob (wt1) をデコードする。
その後に、ネイティブ API である NtAllocateVirtualMemory/NtProtectVirtualMemory を通じて実行可能メモリを確保し、デコード済みバイト列をコピーする。最後に、固定オフセット 0x173B0 でスレッドを作成する。
ヘッダーレスPEの構造
Synaptics によると、この PowerShell ローダーは、生成されたガベージ・コードの中に埋め込まれている。しかし、その背後にあるペイロードは注目に値するものだ。これは、独自のリフレクティブ・マッパーを含む、加算形式でエンコードされたヘッダーレス PE (Portable Executable) イメージである。
このオフセットは、再構築されたイメージ内のエクスポート関数 Main.dll!Func に解決される。それにより明らかにされるのは、攻撃者の意図である。つまり、このエクスポート済みルーチンは stealer の中核ロジックではなく、カスタムのリフレクティブ PE マッパーを実装するものである。
デコードされた blob は、ディスク上の通常の PE ではない。それは、メタデータを提供する小規模なカスタム・ヘッダーを持つヘッダーレス・イメージである。このメタデータに含まれるのは、オリジナルの ImageBase 0x180000000/SizeOfImage 0x11A000/エントリ RVA/エクスポート/インポート/再配置の RVA である。
この亜種は、主にパッケージ化と耐性の点で、4 月の UAC-0226 サンプルとは異なるものである。特徴として挙げられるのは、ADS を用いた Startup フォルダへのサイレントな設置/カスタムのリフレクティブ・マッパーを持つヘッダーレス PE/ローダーのテレメトリ/明示的かつ広範な情報収集ロジックなどである。
メモリ内のリフレクティブ・マッパーは、PEB (Process Environment Block) の走査により API 解決を実行する。さらに、SizeOfImage 全体の割り当て/セクションのコピー/インポートの解決/再配置の適用/権限の設定により、DLL_PROCESS_ATTACH を呼び出す。
このアーキテクチャにより、多数の静的指標が隠蔽される。ディスク上のファイルには、MZ/PE ヘッダーが存在せず、ペイロードを通常の DLL として書き込む必要もない。
さらに、このローダーは、4 個の 32-Bit ステータス値を書き込む。それらは、スレッド終了コードと 3 個のマッパー・ステータス・フィールドである。さらに、TLS 検証をグローバルに無効化した後に、16 バイトのテレメトリを hxxps://142.111.194[.]73:8640/dj5FZEiLnA/ へ POST する。
これにより、オペレーターがペイロードとは別に取得するのは、マッピングの開始/再配置の失敗/エントリ・ポイントへの到達/ペイロードの終了といった詳細なフィードバックである。
インフォスティーラーの挙動
リフレクティブにマッピングされたモジュール内では、UTF-16 ワードに対して動作する、RC4 に類似するストリーム暗号で、それらの文字列は保護されている。大部分の文字列が静的に復元されたことで、標的を絞った情報収集モジュールの存在が明らかになった。
このペイロードは、専用のブラウザおよびファイル窃取機能を実装している。Chromium 系ブラウザ (Chrome/Edge/Opera) からは、CryptUnprotectData を介して認証情報および Cookie を収集する。また、Firefox プロファイルからは、logins.json/key3.db/key4.db/cookies.sqlite を収集する。
さらに、.ovpn/.kdbx/.jks を含む文書や、アーカイブ、VPN 関連ファイル、keystore を広範に収集する。ローカルのステージングは、ユーザー・プロファイル配下のパスで行われており、ランダムな名前の ZIP コンテナが、流出前に収集済みデータを取りまとめている可能性が高い。
永続化のためのクリーンアップ・パスは、ProgramData および Startup を参照しており、遅延して実行される自己削除ルーチンも含まれる。ただし、初期の永続化は ADS により配置された、Startup LNK により実現されている。
インフラのフィンガープリントは、”evoxt.com” を通じたホスティングを維持している。その一方で、このオペレーターは TLS 証明書を調整し、コールバック・ポートを 8406 から 8640 へ変更し、固定の /rcv エンドポイントをランダム化されたパスに置き換えた。これらの処理は、YARA/EDR シグネチャおよびネットワーク検知を回避するためのものと考えられる。
訳者後書:圧縮解凍ソフト WinRAR の仕組みを悪用し、特定のフォルダに特殊なショートカットを密かに配置する、高度な攻撃が確認されています。この問題の背景には、ファイルシステムが持つ目に見えないデータ領域の利用や、解析を妨害する無意味な命令の大量混入といった工夫があります。このトラップに引っかかると、コンピュータの起動時に不正な処理が自動で動き出し、保存されているパスワードや資格情報が他人に盗み見られるなどの甚大な被害が生じます。対応策として必要になるのは、WinRAR のバージョンを確認し、脆弱性 CVE-2025-8088 が修正されている状態を保つことです。よろしければ、CVE-2025-8088 での検索結果も、ご参照ください。
You must be logged in to post a comment.