ロシアに関連するハッキンググループは、人気のあるWinrarファイル圧縮ユーティリティの重要なゼロデイの脆弱性を活用しており、何百万人ものユーザーを危険にさらしています。 CVE-2025-8088と識別される欠陥により、攻撃者は、特別に作成されたアーカイブファイルを開くと、ターゲットのシステムで悪意のあるコードを実行できます。 href=”https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/”target=”_ blank”>それらをRomcom Cybercrimeグループに帰属させます。 WinRAR’s developer has since バージョン7.13をリリースして、脆弱性にパッチを当てます。ただし、アプリケーションは自動的に更新されず、ユーザーは修正を手動でインストールする必要があります。
インシデントハイライトSESSINGENTセキュリティチャレンジ:攻撃者は、広くインストールされたソフトウェアの遅いパッチングサイクルを頻繁に活用します。 Winrarの自動アップデート機能の欠如は、脅威アクターがフィッシングキャンペーンで成功する機会の窓を大幅に広げます。積極的な搾取の下で
2025年7月18日にESET研究者によって野生で最初に検出されました。ターゲット=”_ blank”>新しいエクスプロイトを指す異常なファイルアクティビティ。行動を確認した後、彼らは7月24日にWinrarの開発者に欠陥を責任を持って開示しました。これにより、迅速な対応が促されました。欠陥は公式に CVE-2025-8088 その発見は、サイバー犯罪の高価値のターゲットのままであるユビキタスファイルアーキバーのセキュリティ問題の厄介な傾向を継続しています。このクラスの欠陥により、攻撃者は標準的なセキュリティ制限をバイパスして、攻撃者が被害者のコンピューター上の任意の場所にファイルを書き込むことができます。攻撃は、悪意のあるアーカイブファイルを含むフィッシングメールから始まります。
脆弱なWinrarバージョンを持つユーザーがこのファイルを開くと、エクスプロイトはアプリケーションを縮小し、悪意のある実行可能ファイルを敏感なシステムフォルダーに抽出します。主なターゲットは、ログイン時にプログラムが自動的に実行されることを保証するWindows Startupディレクトリです。
公式リリースノートで、開発者はメカニズムを確認し、「ファイルを抽出するとき、Winrarの以前のバージョンは、ユーザーが指定されたパスの代わりに、特別に作られたアーカイブで定義されたパスを使用することができます」と述べました。マルウェアがスタートアップフォルダーに植えられると、ユーザーがWindowsにログインしてリモートコードの実行と攻撃者のコントロールを提供するときに自動的に実行されます。このグループには、カスタムバックドアを展開してデータを盗むためにゼロデイを活用した歴史があります。研究者のピーター・ストリチェクによると、「これらのアーカイブはCVE-2025-8088を活用してロムコムのバックドアを提供しました。ロムコムはロシアに並んだグループです。」
グループの洗練度は有名です。 ESETの分析によると、「Winrarで以前は未知のゼロデイの脆弱性を活用することにより、ROMCOMグループは、サイバー操作に深刻な努力とリソースを投資することをいとわないことを示しました。」不穏なことに、ロムコムは一人ではありません。ロシアのセキュリティ会社Bi.Zoneは、Paper WerewolfまたはGoffeeとして知られる2番目のグループも、独自のキャンペーンでCVE-2025-8088を利用していることが判明したと報告しました。このツールには、野生で積極的に悪用された重要な脆弱性の歴史があります。 2023年、別の欠陥、CVE-2023-38831は、ロシアと中国の州支援ハッカーによって使用されました。
その同じ年、別の緊急パッチを必要とする、影響を受けるシステムでのリモートコード実行も許可されました。これらの繰り返されるインシデントは、一貫して更新されていないソフトウェアに関連するリスクを際立たせたことを思い出させます。
問題の中核は、手動更新の遅いレートです。 Googleの脅威分析グループが以前にWinrar Exploitsについてコメントしていたように、「…継続的な搾取[…]「既知の脆弱性に対する搾取が非常に効果的であることを強調する」攻撃者がゆっくりしたパッチング率を有利に使用するため」。攻撃者は、このユーザーの行動を理解し、その周辺のキャンペーンを構築し、脆弱なターゲットの大きなプールが数か月間持続することを知っています。
Microsoftは、最近のWindows 11ビルドでRARおよびその他のアーカイブ形式のネイティブサポートを導入しました。すべてのユーザーは、すぐにWinrar 7.13以下をダウンロードしてインストールすることを強くお勧めします。