WinRARのゼロデイ脆弱性をハッカーRomComとPaper Werewolfが悪用

小規模（従業員50～249名）、中規模（従業員250～999名）、大規模（従業員1,000～4,999名）、エンタープライズ（従業員5,000名以上） 小規模、中規模、大規模、エンタープライズ

特徴

高度な攻撃検出、高度な自動化、どこからでも復旧など

3グレイログ

ロマンティックコメディは偽の求人応募書類を使用

ESETの研究者によると、RomComグループは悪意のあるアーカイブを求人応募書類に偽装し、ヨーロッパとカナダの金融、製造、防衛、物流業界の被害者を狙っていたという。パッケージには一見無害な文書が含まれているように見えたが、複数のADSエントリが隠されていた。中には悪意のあるコードを含むものや、疑わしい行動を隠すためのおとりデータで満たされたものもあった。

ESETのアントン・チェレパノフ、ピーター・ストリチェク、ダミアン・シェーファーは次のように述べている。「WinRARに存在するこれまで知られていなかったゼロデイ脆弱性を悪用することで、RomComグループはサイバー攻撃に多大な労力とリソースを投入する意思を示した。RomComが実環境でゼロデイ脆弱性を悪用したのは、これで少なくとも3回目となる。」

ESET は、3 つの異なる攻撃チェーンを特定しました。

• COM ハイジャックによる Mythic エージェント:悪意のある DLL を %TEMP% に展開し、レジストリ設定をハイジャックし、埋め込まれたシェルコードを実行します。
• SnipBot 亜種:特定のユーザー アクティビティ パターンが満たされた場合にのみ実行される、ローダーとして機能する改変された PuTTY ツール。
• RustyClaw/MeltingClaw ダウンローダー:侵害を拡大するためにリモート サーバーから追加のペイロードを取得します。

Paper Werewolfもこの欠陥を悪用した

ロシアのサイバーセキュリティ企業BI.ZONEは、別のアクターであるPaper Werewolf（GOFFEEとしても追跡されている）が、同じ脆弱性を悪用していると報告しました。同社によると、このグループは、全ロシア研究所の職員を装ったフィッシングメールを送信し、2025年6月に修正された別のWinRARの脆弱性であるCVE-2025-6218を悪用したRARファイルを配布していたとのことです。

BI.ZONEによると、「この脆弱性は、RARアーカイブを作成する際に、名前に相対パスを含む代替データストリームを含むファイルを含めることができるという事実に関連しています。これらのストリームには任意のペイロードが含まれる可能性があります。」

同社は、Paper Werewolf がこのエクスプロイトを「zeroplayer」という名の闇販売者から入手した可能性があると示唆している。zeroplayer は 7 月初旬、ロシア語のダークウェブフォーラムで WinRAR のゼロデイ脆弱性を 8 万ドルで販売していた。

WinRARエクスプロイトの長い歴史

WinRARは広く普及しており、自動更新機能がないため、サイバー攻撃の標的として繰り返し利用されてきました。2019年の重大なバグや、2023年に公開されたゼロデイ脆弱性CVE-2023-38831など、同様の脆弱性が悪用された事例は過去にもありました。CVE-2023-38831は、公開される数か月前から攻撃者に悪用されていました。

RomComとPaper WerewolfはどちらもWinRARの内部構造を深く理解しており、このソフトウェアを高度に標的を絞ったサイバー攻撃ツールとして転用しました。無関係な2つの脅威グループが立て続けに同じ脆弱性を悪用したという事実は、貴重なゼロデイ脆弱性に対するブラックマーケットの強い需要を示唆しています。

セキュリティ専門家はパッチ適用の緊急性を強調し、脆弱なシステムは既知および未発見の攻撃の両方にさらされたままであると警告している。

この欠陥は公開から24時間以内に修正され、2025年7月30日にWinRAR 7.13がリリースされました。プログラムは自動的に更新されないため、ユーザーは自分で新しいバージョンをダウンロードしてインストールする必要があります。

サイバー犯罪者がAIをどのように攻撃ツールとして利用しているのか、興味はありませんか？侵害件数が47%増加した背景と、最新のマルウェアの背後にあるビジネスについて、詳しく掘り下げて解説します。