APT&標的型攻撃
古いWinRARの脆弱性がウクライナへの攻撃を助長:管理されていないソフトウェアが侵入口を開けたままにする仕組み
WinRARの脆弱性CVE-2025-8088は、修正から約1年が経過した現在も、ロシア関連の2つのキャンペーンによってウクライナの組織に対して悪用されています。この事例は、管理されていないソフトウェアが、修正プログラム公開後も悪用可能な侵入口を長期間残し続けることを示しています。
- 2025年7月に修正されたWinRARのパストラバーサル脆弱性CVE-2025-8088は、現在もウクライナを標的とする複数の侵入セットによって悪用されています。これには、トレンドマイクロが一時的に「SHADOW-EARTH-066」と呼称している侵入セットや、「Earth Dahu」(Gamaredon)などのロシア関連グループが含まれます。少なくとも2026年4月まで、両グループは新たなエクスプロイトサンプルを作成し続けていました。Earth Dahuは本稿執筆時点でも活動を継続しています。
- 2025年以降CERT-UAがUAC-0226として追跡しているSHADOW-EARTH-066は、認証情報と文書を迅速に窃取するよう設計された「GIFTEDCROOK」情報収集型ハッキングツール(スティーラー)の更新版を展開しました。このスティーラーは、ブラウザのパスワード、セッションクッキー、35種類の拡張子に一致するファイルを収集します。
- この攻撃者は1年足らずの間に、平文のTelegram経由で情報を外部送信する基本的なExcelマクロから、WinRARのエクスプロイトチェーン、直接NTシステムコールを用いたインメモリDLL読み込み、暗号化されたコマンド&コントロール(C&C)インフラへと移行しました。
- WinRARはグループポリシーや集中管理型の更新機構の対象外です。このような特性を持つソフトウェアは、パッチ公開後も長く悪用可能な状態に残りやすく、組織の脆弱性管理に継続的な死角を生みます。
はじめに
2014年にロシアがクリミアを併合した当時、ロシア関連のサイバー脅威の状況は、少数の既知の攻撃者によって特徴づけられていました。APTグループ「Pawn Storm」(APT28としても知られる)、Sandworm、Earth Koshchei(APT29としても知られる)、Turla、Earth Dahu(Gamaredonとしても知られる)です。10年後、これらのグループは現在も活動を続けていますが、ウクライナを標的とする明確に異なるアクティビティクラスタがはるかに多く加わっています。こうしたクラスタ全体に共通するパターンの1つが、広く使われているソフトウェアの脆弱性を迅速に取り入れることです。本レポートの中心にあるWinRARの脆弱性CVE-2025-8088は、2025年7月にVoid Rabisu(ROMCOM)が使用したゼロデイとして初めて報告され、その後、SandwormとTurlaを含む他のグループにも悪用されてきました。SHADOW-EARTH-066(UAC-0226として知られる)とEarth Dahuも、この脆弱性を悪用しました。
WinRARはウクライナの組織の日常業務に深く組み込まれており、悪用対象として魅力的です。CVE-2025-8088はパストラバーサルの脆弱性(CVSS 8.4)で、2025年7月にWinRAR 7.13で修正されました。この脆弱性により、攻撃者はNTFS代替データストリームを介して、展開先ディレクトリの外側にファイルを密かに書き込むことができます。被害者がアーカイブを開くと、それ以上の操作は不要です。被害者に見えるのはおとり文書だけです。トレンドマイクロが分析したサンプルは、すべてこの脆弱性を悪用していました。
本レポートでは、ウクライナの標的に対してCVE-2025-8088を悪用する2つの別個のキャンペーンを調査します。1つ目はSHADOW-EARTH-066に帰属され、認証情報と文書を迅速に収集してから自己削除するGIFTEDCROOK情報収集型ハッキングツール(スティーラー)の更新版を配信します。2つ目はEarth Dahu(Gamaredon)に帰属され、HTAベースのチェーンを通じてスパイ活動用ツールを配信します。2つのグループは異なるツールとインフラを使用していますが、同じ侵入口を共有しています。
脆弱性:CVE-2025-8088
被害者は通常、メールを通じてRARアーカイブを受け取ります。古いバージョンのWinRARでアーカイブを開くと、PDFが表示されます。このPDFは、裁判所の召喚状(図1参照)、行政通知、防衛省文書のように見える場合があります。被害者にはそれ以外何も見えませんが、バックグラウンドでは、WinRARがWindowsのスタートアップフォルダなど、展開先ディレクトリの外側に追加ファイルを密かに書き込んでいます。ダイアログや警告は表示されません。次回ユーザがログインすると、これらのファイルが実行されます。
本稿で調査した2つのキャンペーンはいずれもCVE-2025-8088を使用していました。この脆弱性は、以前のディレクトリトラバーサル脆弱性(CVE-2025-6218、WinRAR 7.12で修正)に関連していますが、NTFSの「Alternate Data Streams(ADS)」を通じて異なるコードパスを悪用します。
ADSはNTFSファイルシステムの機能であり、追加の名前付きデータストリームをファイルに付加できます。正規の用途には、ブラウザが追加するゾーン識別子などのメタデータ保存が含まれますが、ADSは任意のデータも格納できます。RAR5アーカイブには、ADSメタデータを表すために、STMzマーカーを持つ「SERVICEヘッダ」(ヘッダタイプ0x03)を含めることができます。バージョン7.13以前のWinRARは、これらのADS名に含まれるディレクトリトラバーサルシーケンスを無害化していませんでした。そのため、攻撃者はSTMzエントリに..\..\シーケンスを埋め込み、任意の場所にファイルを書き込むことができました。図2はこの仕組みを示しています。
SHADOW-EARTH-066:GIFTEDCROOKキャンペーンからWinRARエクスプロイトチェーンへ
背景
SHADOW-EARTH-066は、CERT-UAがUAC-0226として追跡している攻撃者クラスタに対するトレンドマイクロの一時的な呼称です。このクラスタの活動は、2025年4月のCERT-UAアドバイザリ#14303で初めて文書化されました。このキャンペーンは、少なくとも2025年2月以降、ウクライナ東部国境付近の軍事イノベーションセンター、軍編成、法執行機関、地方自治体を標的にしています。
当初のキャンペーンでは、地雷除去、行政罰金、UAV生産、破壊された財産への補償に言及するマクロ有効化Excelファイル(.xlsm)を添付したスピアフィッシングメールが使用されていました。ペイロードはExcelセル内のbase64エンコード文字列として保存されており、.NETリバースシェルと、CERT-UAが「GIFTEDCROOK」と命名したC/C++認証情報窃取ツールが含まれていました。最初のバージョンはスタンドアロン実行ファイルで、Chrome、Edge、Firefoxからブラウザ認証情報を窃取し、PowerShellのCompress-Archiveでアーカイブ化して、Telegramチャネルへ外部送信していました。ボットトークンとチャットIDは平文でハードコードされていました。
2026年2月までに、SHADOW-EARTH-066は初期アクセスベクタをExcelマクロドロッパからCVE-2025-8088へ移行し、埋め込み.NETペイロードとTelegram外部送信から、専用C&Cサーバを使うインメモリDLL読み込みチェーンへ移行していました。
CVE-2025-8088攻撃チェーンの内部
2026年4月9日付の最新ビルドアーティファクトは、このキャンペーンが少なくとも4月上旬まで活動を継続していたことを示しています(攻撃チェーン全体は図3を参照)。細工されたRARアーカイブには、表示されるおとりPDFとともに、パストラバーサルを使用して展開先ディレクトリの外側にファイルを書き込む3つの隠しADSペイロードが含まれます。
- 5階層上: 以下を標的とするLNKショートカットファイル
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup - 12階層上:以下にドロップされるPowerShellローダスクリプト
C:\ProgramData - 12階層上:以下にドロップされるエンコード済みDLLペイロード
C:\ProgramData
これらのトラバーサル深度は、一時展開パスを持つ一般的なメールクライアントから、ユーザのAppDataディレクトリツリーに到達するよう計算されています。LNKはスタートアップフォルダに配置され、次回ログイン時に実行されてペイロードチェーンを起動します。12階層の指定はドライブルートまで行き過ぎることでC:ProgramDataに到達します。被害者から見ると、アーカイブを展開してPDF文書が表示されるだけです。追加ファイルはバックグラウンドで密かに書き込まれるため、警告は表示されません。
トレンドマイクロは、複数の明確に異なるビルドグループにまたがる複数のRARサンプルを分析しました。ファイル名、エンコードキー、C&Cアドレスはビルドごとに異なる一方、すべてに共通する構造的な特徴がありました。単一のFuncエクスポートを持つDLLエクスポート名result.dll、非標準のPEオフセットe_lfanew = 0x110、静的リンクされたlibcurl 8.14.0-DEV、同一のRC4外部送信キー、すべてのLNKファイルに埋め込まれた同じビルダーマシンSIDです。以下では、1つのサンプルを取り上げます。
SHA256: 3d371ef71e40c34a75c168d4647db096c2f386499d99a88d4e16b63cd4acda25
このRARアーカイブは、おとりとしてドニプロペトロウシク地方行政裁判所の裁判所召喚状PDFをドロップします(図2に示したもの)。3つの隠しADSペイロードは次のとおりです。
- スタートアップフォルダへ書き込まれるLNKファイル
bfF3BxteabXqg.lnk - 書き込まれるPowerShellローダ(KKN)
C:\ProgramData - 書き込まれるSUBエンコード済みDLL(ND8、キー
0x38)C:\ProgramData
他のサンプルでは、防衛省の兵役義務者登録簿やKrAZトラック隊の軍用装備品マニフェストなど、異なるおとりテーマが使用されています。
チェーンの実行方法
被害者が次にログインすると、WindowsはスタートアップフォルダからLNKファイルを実行します。LNKの標的は「cmd.exe」で、二重にネストされたPowerShellセッションを起動する引数が指定されています。
cmd.exe /c start /min "" powershell -NoPr -Win Hidd -Ex Bypass
-Com "powershell -NoPr -Ex Bypass -Com ""iex (gc 'C:ProgramDataKKN' -raw)"""
外側の「powershell.exe」は内側の「powershell.exe」を生成します。どちらも、スクリプト実行制限を回避するために-ExecutionPolicy Bypassを使用し、表示ウィンドウを抑制するために-WindowStyle Hiddenを使用します。内側のセッションはC:ProgramDataからローダスクリプトを読み込み、Invoke-Expressionを介して実行します。各ビルドはGet-Contentに異なるエイリアス(gc、cat、type)を使用し、機能を変えずにコマンドラインシグネチャを変化させています。
PowerShellローダは高度に難読化されたスクリプト(65〜74KB)です。関数名には、たとえば次のようにランダムな英単語をアンダースコアで連結したものが使われています。
flexibility_denominator_wiretap(), polliwog_scenery_reward_plane_preset()
数百行の不要なコメント行と、小数値を持つSleep呼び出し(例:Sleep 1.453)により、スクリプトは肥大化し、実行時間が延びます。これはサンドボックス分析を回避するためです(図4)。
難読化の下で、ローダは直接NTシステムコールを使用してインメモリDLL読み込みを実行します。
NtAllocateVirtualMemory, NtProtectVirtualMemory, NtCreateThreadEx
これはユーザモードAPIフックを回避するためです。
- 以下からSUBエンコード済みバイナリを読み込みます。
C:\ProgramData - 固定キー値を減算して各バイトをデコードします:
decoded[i] = (encoded[i] - key) & 0xFF - 以下でメモリを割り当て、
NtAllocateVirtualMemory次でデコード済みDLLをコピーした後、Marshal.Copyメモリ保護を実行可能に変更します。 - 以下でDLLエントリポイントにスレッドを作成し、完了を待機します。
NtCreateThreadEx
エンコード済みペイロードはC:ProgramData配下のディスク上に存在しますが、デコード済みDLLがファイルとして書き込まれることはありません。デコードと読み込みの処理は「powershell.exe」プロセス内のメモリ上で実行されるため、最終ペイロードをファイルベースで検出することは困難です。
進化したGIFTEDCROOK:result.dll
最終ペイロードは、内部名「result.dll」を持ち、単一の関数FuncをエクスポートするDLLです。このファイルは、静的リンクされたlibcurl 8.14.0-DEVを使用してx86-64向けにコンパイルされたカスタム情報収集型ハッキングツール(スティーラー)です。Chromiumベースのブラウザ(Chrome、Edge、Opera)とFirefoxを標的とし、被害者のファイルシステムから文書やファイルも収集します。
ブラウザの標的
各Chromiumベースブラウザ(Chrome、Edge、Opera)について、このスティーラーはLocal State JSONファイルを読み取り、以下を介してDPAPIで保護されたマスターキーを抽出します。
CryptUnprotectData
その後、プロファイルごとにLogin Data(パスワード)とCookieを、復号済みマスターキーとともに収集します。Firefoxについては、各プロファイルディレクトリから「key3.db」と「key4.db」のNSSキーデータベース、および「cookies.sqlite」を読み取ります。
このスティーラーはChromeのLocal Stateファイルから以下も抽出します。
app_bound_encrypted_key
Chromeバージョン127以降は、このフィールドを使用して「App-Bound Encryption(ABE)」を実装しています。これは認証情報の復号をChromeアプリケーションのコンテキストに紐づける保護機能です。Googleは、インフォスティーラー型マルウェアの有効性を下げる目的でABEを導入しましたが、2024年後半以降、多くのインフォスティーラーでABEバイパスが採用されています。「result.dll」にこの機能が存在することは、開発者がブラウザのセキュリティ変更を追跡しており、より広範なインフォスティーラーエコシステムから着想を得た可能性を示しています。
文書とファイルの窃取
ブラウザデータに加えて、result.dllは被害者のDocuments、Downloads、TEMPディレクトリをスキャンし、35種類の拡張子に一致するファイルを探します。
このファイル窃取機能は、Arctic Wolfが文書化した進化と一致しています。同社は、GIFTEDCROOKの中間バージョンが「result.dll」への移行前にすでにファイル収集機能を追加していたと報告しています。
自己削除
外部送信後、「result.dll」は3つすべてのステージングアーティファクトをディスクから削除します。その後、次の削除操作が順番に実行されます。
- 以下を起動し、5秒遅延後に1つのステージングファイルを削除します。
CREATE_NO_WINDOW付きのCreateProcessWがcmd.exe /c "timeout /t 5 & del " - 2回のDeleteFileW呼び出しで、以下のPowerShellローダを含む残りのファイルを削除します。
C:\ProgramData
クリーンアップ後、エンドポイントにはスタートアップ機構もステージングファイルも残りません。このスティーラーは1回限りの実行として動作します。
アンチ分析対策
「result.dll」は、静的分析とサンドボックス分析に対抗するため、複数の技術を重ねています。
- FNV-1aハッシュを用いたPEB walk:この技術はProcess Environment Blockを辿り、モジュール名と関数名をハッシュ化することで、実行時にAPIアドレスを解決します。シード:
0x811c9dc5、prime:0x01000193 - 二層RC4暗号化文字列テーブル:100個以上の文字列(ブラウザパス、ファイル拡張子、ディレクトリ名、C&C URL)が、文字列ごとのキーで以下のセクション内に個別にRC4暗号化されています。C&C URLはASCII RC4エンコーディングを使用します。すべての文字列は実行時にのみ復号されます。
.rdata - 恒等関数によるアンチ分析パディング:単純な以下の関数への数千回の呼び出しがコード全体に挿入されています。各呼び出しは意味のある定数を渡しているように見えますが、この関数はそれを変更せず返します。
mov eax, ecx; retこれにより、機能には影響を与えず、コードサイズと分析時間を増加させます。これとは別に、LCG PRNG遅延ループ乗数0x41C64E6Dが可変の実行遅延を導入し、サンドボックスの分析時間枠を超過させます。
なお、これらのIPアドレスと直接通信するサンプルは確認していません。これらは、表の上位4つのIPと重複するCN「john」の自己署名TLS証明書を介してピボットされたホストです。
7台すべてのサーバは、欧州各地に拠点を持つマレーシアのVPSプロバイダであるEvoxt Sdn. Bhd.(AS149440)上でホストされています。これらのサーバは、フランス、オランダ(2台)、スイスに分散しています。いずれも非標準の高位ポートと同じURIパス(/rcv/)を使用しており、サーバ側ツールが共有されていることを示しています。
GIFTEDCROOKからresult.dllへ:主な変更点
トレンドマイクロの分析により、「result.dll」はGIFTEDCROOKと同じマルウェアファミリに属することが確認されました。両者は、同じコンパイラツールチェーン(MSVC C++、x64)、同じ暗号APIセット(CryptUnprotectData、CryptImportKey、BCryptGenRandom)、同じアンチ分析チェック(IsDebuggerPresent、wine_get_version)、同じmultipart/form-data外部送信形式を共有しています。
C++ランタイムのパターンは同じC++20標準を示しており、libcurlのバージョンは8.12.1-DEVから8.14.0-DEVへアップグレードされていました。中間バージョン(v1.2とv1.3、Arctic Wolfが文書化)は、外部送信にTelegramを使い続けながら、すでにファイル窃取機能を追加していました。「result.dll」はこの流れを継続し、さらに拡張しています。
これらの変更は大幅なアップグレードを意味します。
Telegramから専用C&Cサーバへの移行は、運用上のセキュリティの観点で注目に値します。また、運用環境のより広い変化とも関係している可能性があります。2026年2月、ロシアはTelegramへのアクセスを厳しく制限し始め、全面的なブロックへ向かう前段階としてサービスのスロットリングを実施しました。オリジナルのGIFTEDCROOKサンプルには平文のTelegramボットトークンが含まれており、容易に抽出して監視やテイクダウンに利用できました。新バージョンでは、C&C URLはバイナリの「.rdata」セクション内でRC4暗号化されています。隣接するキーとブロブのペアをRC4復号すれば静的に復元できますが、基本的な文字列分析では見えなくなっています。
Earth Dahu:HTAチェーンを介したスパイ活動攻撃
背景
Earth Dahuは、一般にGamaredon(英語)として知られる攻撃者に対するトレンドマイクロの呼称です。この攻撃者はPrimitive Bear、Shuckworm、Aqua Blizzard、UAC-0010、BlueAlpha、ACTINIUMとしても追跡されています。同グループは、ウクライナを標的とするロシア関連グループの中でも特に多くの活動が確認されているグループの1つであり、少なくとも2013年以降の作戦が文書化されています。Earth Dahuは歴史的にスクリプトベースのツールを好んできましたが、古い手法が検出・ブロックされるようになると新たな配信技術を採用してきました。これにはOfficeマクロ、自己解凍型アーカイブ(SFX)、BATスクリプト、CVE-2025-8088のような脆弱性悪用が含まれます。
少なくとも2025年9月以降、Earth DahuもCVE-2025-8088を作戦に組み込んでいます。トレンドマイクロは2025年12月に、TrendAI Vision One™を通じて配信された非公開インテリジェンスレポートで、この採用を初めて報告しました。当時、Earth Dahuはこの脆弱性をHTAからVBScriptへつながる感染チェーンとともに使用し、スパイ活動モジュールを配信していました。RAR内部ファイルのタイムスタンプとファイル命名規則に基づくと、このチェーンは少なくとも2026年4月10日まで活動を継続していました。
HTAベースの攻撃チェーン
本セクションでは、Earth Dahuによる初期アクセスベクタとしてのCVE-2025-8088悪用に焦点を当てます。GammaSteelやその他のスパイ活動モジュールの配信を含む侵害後のTTPについては、ClearSkyおよびHarfangLabが文書化しています。詳細については、これらのレポートを参照してください。
SHADOW-EARTH-066の3ファイル方式とは異なり、Earth DahuによるCVE-2025-8088の悪用では、ADSパストラバーサルを介して単一のファイルがドロップされます。これは悪性の「HTA(HTML Application)」、またはスタートアップフォルダに書き込まれる「VBSまたはVBE」ファイルです。一部のサンプルはHTAファイルを直接ドロップしますが、別のサンプルは難読化されたVBSまたはVBEダウンローダスクリプトをドロップし、Cloudflare Tunnel(trycloudflare[.]com)からHTAペイロードを取得して実行します。これにより、同じHTAからVBScriptへの実行フローに到達する前に、追加のダウンロード段階が加わります。各RARアーカイブには、表示されるPDFが1つと、6階層をトラバースする隠しADSエントリが1つ含まれます。
次回ログイン時に、mshta.exeはHTAファイルを自動的に実行します。HTAは「Dynamic DNS」と「Cloudflare Workers」インフラでホストされた外部リソースからVBScriptを読み込み、実行します。Cloudflare WorkersをC&Cプロキシとして使用する点は、最近のEarth Dahu作戦に特徴的なパターンです。C&Cは標的に応じてさまざまなスパイ活動モジュールを配信します。ClearSky Cyber Securityは、このチェーンを通じてWiperコンポーネントも配信されたと報告しています。
これらのHTAファイルに埋め込まれたC&C URLは、URLバーで信頼できるドメインを偽装するため、HTTP Basic認証の@表記を頻繁に使用しています。たとえば、以下の構造のURLでは、@記号の左側にssu.gov.uaが表示されるため、URLがウクライナ保安庁から発信されたように見えます。
hxxps://ssu[.]gov[.]ua@malicious[.]workers[.]dev/path
しかし実際のリクエストは、攻撃者が制御するworkers[.]devサブドメインに向けられます。このキャンペーンで確認された偽装ブランドには、次のものが含まれます。
ウクライナ政府ドメイン(ssu[.]gov[.]ua, president[.]gov[.]ua, rnbo[.]gov[.]ua, mil[.]gov[.]ua)
ウクライナのニュース媒体(nv[.]ua, tsn[.]ua, www[.]unian[.]net, censor[.]net)
国際メディア(www[.]bbc[.]com, www[.]dw[.]com, www[.]rbc[.]ru)
新しいサンプルでは、小さなTTPの進化が確認されました。HTAチェーンのアーカイブのおよそ半数が、ADSトラバーサルパスに追加の以下のシーケンスを付加しています。
Startup\..\Startup\
最終的な宛先は同じですが、この変化は元のトラバーサルパターンに一致する検出ルールの回避を意図している可能性があります。最新のキャンペーンでは両方のパターンが併存しており、オペレータが複数のビルドテンプレートを並行して実行していることを示唆しています。
スピアフィッシングによる配信
トレンドマイクロは、2025年12月から2026年4月にかけて、Earth DahuのHTAキャンペーンに関連する複数のスピアフィッシングメールを入手しました。その大半は、ウクライナ政府組織や無料メールサービス内の侵害されたアカウントから送信されていました。あるクラスタでは、単一の地方政府Exchangeサーバ上の4つの別個のアカウントが、同じ内部送信元IPを共有していました。これは、侵害されたワークステーションが複数のメールボックスを通じてメールを配信していたことを示唆しています。司法および刑事執行サービスのシステム上でも、追加の侵害アカウントが確認されました。
1通のメールは、2025年12月18日にreg.ruを通じて登録され、以下に解決される攻撃者管理ドメインastrocaf[.]com経由で送信されていました。
194[.]58[.]66[.]82 (Baxet Group Inc., AS26383)
Fromヘッダはウクライナの法執行機関を偽装していましたが、DMARC検証は失敗し、DKIM署名は存在しませんでした。さらに2通のメールは、Return-Pathとして以下を使用し、
vodafonenovic33@joymobile[.]com[.]ua
以下を経由していました。
mail[.]c1[.]com[.]ua (5[.]9[.]241[.]27, Hetzner, Germany
ほとんどのメールには、FromフィールドとToフィールドが同一で、実際の受信者リストを隠す自己宛BCCパターンが見られます。メール件名は一貫して、裁判所召喚状、執行令状、財産差押決定など、ウクライナの司法関連通知になりすましています。すべての添付ファイルは次の命名パターンに従っています。
{DocType}_{N}_{N}_{N}_{N}_{dd.mm.yyyy}.rar
アトリビューション
SHADOW-EARTH-066(バイナリチェーン)
トレンドマイクロは、バイナリペイロードチェーン(CVE-2025-8088からLNK、PowerShell、「result.dll」へ)を、CERT-UAがUAC-0226として追跡する侵入セットに対する一時的な呼称である「SHADOW-EARTH-066」として追跡しています。
UAC-0226への帰属は、マルウェアの系譜に基づいています。トレンドマイクロの分析では、「result.dll」が、CERT-UAが2025年4月にUAC-0226に帰属したスティーラーであるGIFTEDCROOKの直接的な進化版であることを確認しました。上記の進化比較で詳述したとおり、両者は同じコンパイラツールチェーン、暗号フレームワーク、アンチ分析チェック、外部送信プロトコルを共有しています。
タイムスタンプ分析は、追加の帰属データポイントを提供します。すべてのLNKファイルは同じ作成タイムスタンプとビルダーマシン識別子(desktop-hagd25b)を共有しており、単一のビルド環境を確認できます。4つの異なるDLLビルド(2026年2月3日、2月17日、3月16日、4月9日)のPEコンパイルタイムスタンプは、06:33〜11:32 UTCの範囲に集中しています。パッケージ化されたおとりPDFのRARアーカイブタイムスタンプも、対応するPEコンパイル時刻と数秒以内で一致し、これらのビルドセッションを独立して裏付けています。
UTC+3(モスクワ時間)に換算すると、これらは現地時間09:33〜14:32に相当します。6件すべてのビルドイベントは平日に発生しています。これらのタイムスタンプは操作可能ですが、複数ソースにまたがる一貫した平日パターンとUTC+3の勤務時間帯との一致は、そのタイムゾーン付近にいるオペレータを示唆しています。
Earth Dahu(HTAチェーン)
トレンドマイクロは、HTAベースの感染チェーンを「Earth Dahu」(Gamaredon)に高い確度で帰属します。この評価は次の点に基づいています。
- 直接的な継続性:HTAチェーンは、トレンドマイクロがAPT Research Report(Trend Vision One™ Threat Intelligence Hubの登録者向けに提供)で報告したキャンペーンの継続です。悪用手法、侵害後のチェーン(HTAからVBScript、スパイ活動モジュールへ)、C&Cインフラパターン(Cloudflare Workersを伴うDynamic DNS)が同一です。
- TTPの一貫性:スピアフィッシング配信のTTPは、政府メールアカウントの侵害、自己宛BCC配信、Cloudflare Workers経由のC&Cプロキシ化など、確立されたEarth Dahuのパターンと一致しています。
- 被害者像:ウクライナ政府および軍事組織のみを標的にしている点は、Earth Dahuの文書化された作戦上の任務と一致しています。
2つのキャンペーンの違い:同じ脆弱性、異なる攻撃者
本レポートで調査した2つのキャンペーンは、同じ初期エクスプロイト(CVE-2025-8088)と重なる被害者像を共有していますが、侵害後のチェーンは根本的に異なります。
- SHADOW-EARTH-066は直接IPベースのC&Cサーバと通信し、PEB-walk API解決とRC4暗号化文字列を備えたコンパイル済みx86-64 DLLを配信します。Earth DahuはCloudflare WorkersをC&Cプロキシとして使用し、スクリプトベースのツール(HTA、VBScript、PowerShell)に依存します。
- 2つのキャンペーン間で共有インフラは確認されていません。
ツールは、それぞれ異なる開発上の伝統を反映しています。GIFTEDCROOKファミリは、静的リンクされたlibcurlを備えたコンパイル済みC++コードベースです。一方、Earth Dahuは歴史的にスクリプトベースの手法を好んできました。
結論
CVE-2025-8088は2025年7月にWinRAR 7.13で修正されたにもかかわらず、本稿執筆時点で複数の攻撃者グループが新しい誘導文書を含むエクスプロイトサンプルを作成し続け、この脆弱性をウクライナの組織に対する信頼できる初期アクセスベクタとして使用していました。
SHADOW-EARTH-066はこの脆弱性を利用して進化した情報収集型ハッキングツール(スティーラー)を展開し、Earth Dahuはスパイ活動用ツールを配信しています。Sandworm、Turla、Void Rabisuを含むロシア関連の攻撃者も、同じ脆弱性を悪用していると報告されています。
確立された国家支援グループと独立して追跡されるクラスタの双方が単一の脆弱性に集まっていることは、ウクライナが直面するサイバー脅威の規模を反映しています。2022年の全面侵攻以降、ウクライナ政府および軍事ネットワークに対して作戦を実行する侵入セットの数は着実に増加しており、これらのキャンペーンで窃取された認証情報や文書が閉じた範囲にとどまることはありません。軍事・政府組織で侵害されたアカウントは、連絡先ネットワークに含まれる同盟国やパートナーに下流リスクをもたらす可能性があります。
この脆弱性が機能するのは、投資に見合うだけのエンドポイントでWinRARが未修正のまま残っているためです。WinRARには自動更新がなく、グループポリシーもサポートせず、WSUS、SCCM、Intuneのような企業向けパッチチャネルの外側にあります。数百台のエンドポイントにわたってパッチ状況を確認するには、サードパーティツールまたは手作業の監査が必要です。
SHADOW-EARTH-066とEarth Dahuは異なるツールとインフラを使用しています。一方はコンパイル済みC++スティーラーチェーン、もう一方はスクリプトベースのスパイ活動フレームワークです。しかし、両者は同じ未修正の侵入口に依存していました。
この問題はWinRAR、ウクライナ、これらの攻撃者に固有のものではありません。多くのユーティリティアプリケーション、アーカイブツール、ファイルビューアは、広くインストールされている一方で更新頻度が低く、企業規模で管理することが難しいという同じ特徴を持っています。これらのソフトウェアには既知の脆弱性が時間とともに蓄積し、攻撃者はそれを意図的に探します。2018年のWinRAR脆弱性であるCVE-2018-20250は、公開から数年後も標的型攻撃で悪用されていました。CVE-2025-8088も同じパターンを辿っているように見えます。攻撃者は有効な脆弱性を見つけると、機能しなくなるまで使い続けます。
これらのアプリケーションを追跡し、パッチを適用することは任意ではありません。攻撃者が依存するアタックサーフェスを減らすための基本要件です。
リスク管理ガイダンス
直ちに取るべき対応の優先順位
1. WinRARにパッチを適用する。 ITチームは、すべてのエンドポイントでインストール済みバージョンを確認し、WinRARの最新バージョンを展開する必要があります。WinRARには自動更新がないため、ソフトウェア配布ツール(SCCM、Intune、PDQ Deployなど)を使用して更新を配信してください。政府、軍事、防衛関連組織のエンドポイントを優先してください。
2. 痕跡を探索する。 セキュリティチームは、エンドポイントで次を検索する必要があります。
ランダム化された名前を持つLNKまたはHTAファイルが、次の場所に存在するかどうか。
%APPDATA%MicrosoftWindowsStart MenuProgramsStartup
短い英数字名を持つC:ProgramData内のファイル:
KKN, ND8, U0U, YDV, NdV, QB5k, uaP, WnX, wq_, Arj, O5fE
次へのネットワーク接続:
23[.]26[.]237[.]80, 38[.]225[.]209[.]122, 38[.]225[.]209[.]229, 136[.]0[.]141[.]41, 136[.]0[.]141[.]112, 136[.]0[.]141[.]138, 166[.]0[.]132[.]237
注:GIFTEDCROOKの自己削除機構は、外部送信後にスタートアップLNKと2つの`C:ProgramData`ステージングファイルを削除します。これらのファイルベースの痕跡が存在するのは、初期感染から次回ユーザログインまでの間だけです。スティーラーがすでに実行されたシステムでは、ネットワーク上の痕跡、スタートアップコンテキストからPowerShellを生成する`cmd.exe`、残存するPrefetchまたはShimCacheエントリに探索を集中させるべきです。
3. 認証情報をローテーションする。 侵害が確認された、または疑われる場合、影響を受けた組織は、保存済みブラウザ認証情報を持つすべてのアカウントに対してパスワードリセットを強制し、アクティブなWebセッションを無効化し、保存済みトークンとAPIキーをローテーションする必要があります。また、まだ導入されていない場合は、すべての重要アカウントでMFAを有効化してください。
4. C&Cインフラをブロックする。 セキュリティチームは、ネットワーク境界でSHADOW-EARTH-066のC&Cアドレスをすべてのポートでブロックする必要があります。
継続的な対策の適用
メールゲートウェイ制御: セキュリティチームは、可能な場合、メールゲートウェイでRARアーカイブをブロックまたは隔離する必要があります。RARファイルの受信が必要な組織は、ADSエントリ(STMzマーカーを持つRAR5 SERVICEヘッダ)の検査を検討してください。
セキュリティチームは、エンドポイント監視を次のように設定する必要があります。
-
cmd.exeが-ExecutionPolicy Bypassおよび-WindowStyle Hidden付きでPowerShellを起動する挙動をアラート化します。特に以下から読み込む場合を重視してください。C:\ProgramData - PowerShellプロセスが実行可能メモリを割り当てる挙動を監視します。ローダは直接以下のNTシステムコールを使用してユーザモードAPIフックを回避するため、
NtAllocateVirtualMemory、NtProtectVirtualMemory検出はVirtualAllocのユーザモードフックではなく、カーネルレベルのテレメトリ(例:ETW Threat IntelligenceプロバイダまたはEDRカーネルコールバック)に依存する必要があります。このパターンは、インメモリDLL読み込みを示す強い指標です。 - スタートアップフォルダから以下の実行を監視します。mshta.exe
セキュリティチームは、ネットワーク監視を次のように設定する必要があります。
- 以下を持つ
HTTP/HTTPSトラフィックをアラート化します。User-Agentlibcurl/8.14.0-DEV
サードパーティアプリケーション管理: ITチームは、標準的な更新チャネルを通じてパッチを受け取らないアプリケーションを棚卸しし、パッチ管理ワークフローに統合し、組織内全体でバージョン状況を追跡する必要があります。
TrendAI Vision One™ Threat Intelligence Hub
TrendAI Vision One™ Threat Intelligence Hubは、新たな脅威と攻撃者に関する最新の知見、TrendAI™ Researchによる登録者限定の戦略レポート、TrendAI Vision One™プラットフォーム内のTrendAI Vision One™ Threat Intelligence Feedを提供します。本リサーチは、2026年2月にThreat Intelligence Hub登録者向けに初めて報告されました。
新たな脅威: Persistent Exploitation of WinRAR Vulnerability CVE-2025-8088 by SHADOW-EARTH-066 and Earth Dahu Against Ukraine(ウクライナに対するSHADOW-EARTH-066とEarth DahuによるWinRAR脆弱性CVE-2025-8088の継続的悪用)
Persistent Exploitation of WinRAR Vulnerability CVE-2025-8088 by SHADOW-EARTH-066 and Earth Dahu Against Ukraine(ウクライナに対するSHADOW-EARTH-066とEarth DahuによるWinRAR脆弱性CVE-2025-8088の継続的悪用)
侵入の痕跡(IoC: Indicators Of Compromise)
本記事に関する侵入の痕跡は、こちらをご参照ください。
参考記事
Old WinRAR Flaw Fuels Attacks on Ukraine: How Unmanaged Software Keeps the Door Open
By: Hiroyuki Kakara, Feike Hacquebord
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)