ロシア国内の組織を狙った標的型攻撃で、ハッカーグループ「Paper Werewolf(別名:GOFFEE)」がWinRARのディレクトリトラバーサル脆弱性を連続悪用していました。確認されたのは既知のCVE-2025-6218(WinRAR 7.11まで影響)と、調査時点でCVE未付与だった未修正0-day(7.12まで影響、7.13で修正)です。
RAR添付を開くだけ/アーカイブ内の文書を開くだけで、自動起動フォルダへのファイル書き込み→次回ログオン時にマルウェア実行という流れで侵害が成立します。
なお、標的はロシア組織ですが、手口は地域を問いません。日本国内でも業務でのWinRARは一般的に利用されているので同様の侵害リスクがあります。
脆弱性の概要
CVE-2025-6218は、WinRARがアーカイブファイル内のファイルパスを処理する際に、適切なサニタイズ処理を行っていない点に起因します。攻撃者は、../といったディレクトリトラバーサルを含むパスを仕込んだアーカイブを用意し、ユーザーがそれを開くと、本来意図しないディレクトリ(例:スタートアップフォルダやシステムディレクトリ)にファイルが展開されます。
その結果、被害者のシステム再起動時などに悪意あるコードが実行される可能性があります。
アップデートバージョンで本脆弱性に対応していますが、WinRARは自動アップデート機能が無く組織で利用している場合は能動的なアップデート確認が必要になります。
攻撃の流れ
攻撃メールは政府機関・研究機関・大手企業名義を装い、1×1ピクセルのトラッキング画像で開封を把握、家具製造企業の乗っ取りメールアカウントなど実在の差出人を悪用して信頼性を演出していました。
添付のRARには“正規文書”を同梱しつつ、解凍(またはアーカイブ内からの直接閲覧)トリガーでスタートアップフォルダに実行ファイル/LNKを落とす仕掛けが組まれています。添付形式をメールゲートウェイが通しやすい点を突いた手口です。
影響評価と示唆
RARのディレクトリトラバーサル+スタートアップ書き込みは、メールから端末常駐までが最短経路でつながる点が脅威です。メール・EDR・プロキシの単独対策だけでは抜けやすく、WinRARクライアントの更新とアーカイブ閲覧運用の見直しが必須です。
主要IoC(抜粋)
Domains:
eliteheirs.org
indoorvisions.org
trailtastic.org
IPs / Ports:
89.110.88.155:8090
81.30.105.148
213.171.4.200
89.110.98.26
94.242.51.73
Dropped Paths:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\xpsrchvw74.exe
%LOCALAPPDATA%\WinRunApp.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\WinRunApp.lnk
Hashes (samples):
fe2587dd8d9755b7b3a106b6e46519a1ce0a8191eb20821d2f957326dbf912e9 (RAR)
bf74820d40d281c28d5928b01e5b68d6caf85b5b9188bf4efb627765d708bcff (xpsrchvw.exe)
28a2b98ae214376ccd549a8b0dccafad31c8b234d0b81a0e8817579566615567 (RAR)
2446f97c1884f70f97d68c2f22e8fc1b9b00e1559cd3ca540e8254749a693106 (WinRunApp.exe)
236aba76d427111e8c140604ead9c4ab86264b1ae197fc26fadb33c46be94289 (WinRunApp.exe)
参照








