APT41関連のAmaranth Dragon、WinRARのCVE-2025-8088をスパイ活動で悪用

APT41関連の脅威アクター、WinRARのゼロデイ脆弱性を標的型スパイ活動で悪用

中国国家支援のサイバー攻撃グループAPT41との関連が指摘される新たなサイバー諜報グループAmaranth Dragonが、WinRARの重大な脆弱性CVE-2025-8088を悪用し、政府機関や法執行機関を標的とした攻撃を実行していることが判明した。この脆弱性は現在も積極的に悪用されており、攻撃者は脆弱なシステム上で任意のコードを実行可能となっている。

CVE-2025-8088の技術的詳細

CVE-2025-8088は、リモートコード実行（RCE）脆弱性であり、広く利用されているファイル圧縮ツールWinRAR（バージョン7.0.1より前）に影響を及ぼす。この脆弱性は、WinRARが特別に細工されたアーカイブファイルを処理する際の不適切なパストラバーサルに起因し、攻撃者はWindowsのスタートアップフォルダーなどの重要なシステムディレクトリに悪意のあるペイロードを配置できる。

この脆弱性を悪用することで、攻撃者は以下の行為が可能となる：

• ユーザーレベルの権限で任意のコマンドを実行
• 永続化や横展開のための追加マルウェアを展開
• 侵害されたシステムから機密データを窃取

セキュリティ研究者によると、攻撃チェーンはフィッシングメールを介して行われ、武器化されたアーカイブファイルを開くだけで、ユーザーの追加操作なしに脆弱性が悪用されるという。

影響範囲と攻撃者の特定

Amaranth Dragonの攻撃キャンペーンは、APT41の過去の標的パターンと一致しており、東南アジアおよび北米の政府、防衛、法執行機関を主なターゲットとしている。攻撃者の特定は困難であるものの、戦術、技術、手順（TTPs）の重複—特にカスタムマルウェアファミリーの使用やインフラストラクチャの再利用—は、中国の高度持続的脅威（APT）グループとの強い関連性を示唆している。

CVE-2025-8088の悪用は、国家支援型攻撃者が広く普及したソフトウェアを武器化し、従来のセキュリティ対策を回避する傾向が強まっていることを浮き彫りにしている。WinRARの5億人以上のユーザーベースを考慮すると、この脆弱性はファイル圧縮・展開ツールに依存する組織にとって重大なリスクとなる。

緩和策と推奨対策

セキュリティチームは、CVE-2025-8088に関連するリスクを軽減するため、以下の対策を直ちに実施することが推奨される。

1. パッチ管理

   • WinRAR 7.0.1以降にアップグレードし、脆弱性を解消する。
   • 自動パッチ管理ツールを導入し、すべてのエンドポイントで迅速な更新を確保する。

2. メールセキュリティ

   • 信頼できない送信元からのアーカイブファイル（.RAR、.ZIP）をブロックまたは隔離する。
   • サンドボックスソリューションを実装し、不審な添付ファイルを配信前に分析する。

3. エンドポイント保護

   • アプリケーションホワイトリスティングを適用し、WinRARなどの圧縮ツールの不正な実行を防止する。
   • スタートアップフォルダーやその他の自動実行パスにおける異常なプロセス活動を監視する。

4. 脅威ハンティング

   • Amaranth Dragonに関連する**侵害の痕跡（IOC）**を調査する。具体的には：
     • 異常な構造を持つ悪意のあるアーカイブファイル
     • APT41のコマンド＆コントロール（C2）サーバーへの不審なネットワーク接続
     • レジストリキーやスケジュールタスクにおける永続化メカニズム

5. ユーザー啓発

   • フィッシングシミュレーション訓練を実施し、従業員が悪意のある添付ファイルを識別できるようにする。
   • 不審なアーカイブファイルを開かないよう、たとえ一見正当な送信元からであってもリスクを強調する。

結論

Amaranth DragonによるCVE-2025-8088の悪用は、高リスクセクターにおける積極的な脆弱性管理の重要性を強調している。組織は、パッチ管理、メールセキュリティ、エンドポイント監視を優先し、高度なサイバー諜報活動から防御する必要がある。国家支援型の脅威アクターが戦術を進化させ続ける中、セキュリティチームは広く利用されているソフトウェアにおける新たなゼロデイ脆弱性に対して警戒を怠らないようにすべきである。

詳細については、BleepingComputerのオリジナルレポートを参照のこと。