Bir hacker, GitHub'da yakın zamanda sabit bir Winrar güvenlik açığı için sahte bir kavram kanıtı (POC) istismarını yayıyor ve indiricileri Venomrat kötü amaçlı yazılımlarla bulaşmaya çalışıyor.
Sahte POC istismarı, saldırganın 21 Ağustos 2023'te kötü amaçlı kodu GitHub'a yüklediğini bildiren Palo Alto Networks birimi 42 araştırmacı ekibi tarafından tespit edildi.
Saldırı artık aktif değil, ancak GitHub'dan POC'lerin tedarik etmesinin ve güvenli olduklarından emin olmak için onları ek bir inceleme yapmadan çalıştırma risklerini bir kez daha vurguluyor.
Sahte POC, sürüm 6.23'ten önce Winrar'da özel olarak hazırlanmış RAR dosyaları açıldığında tetiklenebilen keyfi bir kod yürütme güvenlik açığı olan CVE-2023-40477 güvenlik açığı içindir.
Trend Micro'nun Sıfır Gün Girişimi, 8 Haziran 2023'te Winrar'a karşı savunmasızlığı keşfetti ve açıkladı, ancak 17 Ağustos 2023'e kadar açıkça ifşa etmedi. Winrar, 2 Ağustos'ta piyasaya sürülen 6.23 sürümünde kusuru düzeltti.
"Whalersplonk" adı altında faaliyet gösteren bir tehdit oyuncusu, yeni Winrar güvenlik açığı için istismar kodu üzerine kötü amaçlı yazılımları yayarak fırsattan yararlanmak için hızlı (4 gün) hareket etti.
Tehdit oyuncusu, ReadMe dosyasında bir özet ve POC'nin nasıl kullanılacağını gösteren ve kötü niyetli pakete daha fazla meşruiyet katan akışlanabilir bir video içeriyordu.
Bununla birlikte, Birim 42, sahte Python POC betiğinin aslında başka bir kusur olan CVE-2023-25157 için halka açık bir istismarın bir modifikasyonu olduğunu bildirmektedir, bu da geoserver'ı etkileyen kritik bir SQL enjeksiyon kusuru.
Yürütüldüğünde, istismar çalıştırmak yerine POC, kodlanmış bir PowerShell komut dosyasını indiren ve ana bilgisayarda yürüten bir toplu komut dosyası oluşturur.
Bu senaryo Venomrat kötü amaçlı yazılımını indirir ve her üç dakikada bir çalıştırmak için planlanmış bir görev oluşturur.
Venomrat bir Windows aygıtında başlatıldıktan sonra, tüm anahtar preslerini kaydeden ve bunları yerel olarak saklanan bir metin dosyasına yazan bir anahtar kaydedici yürütür.
Ardından, kötü amaçlı yazılım, enfekte olmuş cihazda yürütme için aşağıdaki dokuz komuttan birini aldığı C2 sunucusu ile iletişim kurar:
Kötü amaçlı yazılımlar diğer yükleri dağıtmak ve kimlik bilgilerini çalmak için kullanılabileceğinden, bu sahte POC'yi yürüten herkes, hesapları olan tüm siteler ve ortamlar için şifrelerini değiştirmelidir.
Ünite 42 tarafından paylaşılan olayların zaman çizelgesi, tehdit oyuncusunun Winrar kusurunun halka açıklanmasından çok önce saldırı ve yük altyapısını hazırladığını ve daha sonra aldatıcı bir POC oluşturmak için doğru anı beklediğini gösteriyor.
Bu, aynı saldırganın gelecekte, diğer yanıltıcı POC'leri çeşitli kusurlar için yaymak için yeni ortaya çıkan güvenlik açıkları üzerindeki güvenlik topluluğunun artan dikkatini kullanabileceği anlamına gelir.
GitHub'daki sahte POC'ler, tehdit aktörlerinin diğer suçluları ve güvenlik araştırmacılarını hedef aldığı iyi belgelenmiş bir saldırıdır.
2022'nin sonlarında, araştırmacılar çeşitli güvenlik açıkları için hileli POC istismarlarını teşvik eden binlerce GitHub depolarını ortaya çıkardılar, birkaç dağıtım kötü amaçlı yazılım, kötü niyetli Powershell komut dosyaları, gizli info-yönetici indiricileri ve kobalt grev damlası.
Daha yakın zamanlarda, Haziran 2023'te, siber güvenlik araştırmacıları olarak poz veren saldırganlar, Linux'u ve Windows sistemlerini kötü amaçlı yazılımlarla hedefleyen birkaç sahte istismar yayınladı.
Kritik VMware SSH Auth Bypass Güvenlik Açığı
Windows 11 '' Temalar 'RCE Hatası Gett-Concept Sustay
RCE saldırılarına izin veren ardıç güvenlik duvarı hataları için piyasaya sürülen istismar
Saldırılarda sıfır gün olarak istismar edilen Ivanti nöbetçi böcek için serbest bırakılan istismar
3.000'den fazla OpenFire Sunucusu, devralma saldırılarına karşı savunmasız
Kaynak: Bleeping Computer