یک بازیگر مخرب یک بهرهبردار جعلی اثبات ادعا (PoC) برای آسیبپذیری WinRAR که اخیراً در GitHub فاش شده را با هدف آلودهکردن کاربرانی که کد همراه با بدافزار Venom RAT را دانلود کردهاند، منتشر کرد.
Robert Falcone، محقق Palo Alto Networks Unit 42، در این باره گفت[۱]: «PoC جعلی که برای بهرهبرداری از این آسیبپذیری WinRAR طراحی شده بود، بر اساس یک اسکریپت PoC در دسترس عموم بود که از یک آسیبپذیری تزریق SQL در برنامهای به نام GeoServer که با نام CVE-2023-25157 ردیابی میشود[۲]، بهرهبرداری میکرد.»
درحالیکه PoCهای جعلی[۳] به یک بازی مستند[۴] برای هدف قراردادن جامعه تحقیقاتی[۵] تبدیل شدهاند، این شرکت امنیت سایبری مشکوک بود که عوامل تهدید به طور فرصتطلبانه سایر کلاهبردارانی را هدف قرار میدهند که ممکن است آخرین آسیبپذیریها را در زرادخانه خود استفاده کنند.
whalersplonk، حساب [۶]GitHub که این مخزن را میزبانی میکرد، دیگر در دسترس نیست. گفته میشود که انتشار PoC در ۲۱ آگوست ۲۰۲۳، چهار روز پس از اعلام عمومی این آسیبپذیری، انجام شده است.
CVE-2023-40477 به یک مشکل اعتبارسنجی نامناسب[۷] در ابزار WinRAR مربوط میشود که میتواند برای دستیابی به اجرای کد از راه دور (RCE) در سیستمهای ویندوز مورد بهرهبرداری قرار گیرد. این مشکل ماه گذشته توسط نگهبانان در نسخه WinRAR 6.23 همراه با نقص دیگری که به طور فعال مورد بهرهبرداری[۸] قرار گرفته بود بهعنوان CVE-2023-38831 ردیابی شد[۹].
تجزیهوتحلیل مخزن یک اسکریپت پایتون و یک ویدئوی Streamable را نشان میدهد که نحوه استفاده از این بهرهبردار را نشان میدهد. این ویدئو در مجموع ۱۲۱ بازدید را به خود اختصاص داد.
اسکریپت پایتون، بر خلاف اجرای PoC، به یک سرور راه دور (checkblacklistwords[.]eu) دسترسی پیدا میکند تا یک فایل اجرایی به نام Windows.Gaming.Preview.exe، که نوعی از [۱۰]Venom RAT است، را fetch کند. این فایل دارای قابلیت فهرستکردن فرایندهای در حال اجرا و دریافت دستورات از یک سرور تحت کنترل این بازیگر است.
بررسی دقیقتر زیرساخت حمله نشان میدهد که عامل تهدید دامنه checkblacklistwords[.]eu را حداقل ۱۰ روز قبل از افشای عمومیِ این نقص ایجاد کرده است و سپس بهسرعت از اهمیت این اشکال برای جذب قربانیان احتمالی استفاده کرده است.
Falcone در این باره گفت: «یک عامل تهدید ناشناخته سعی کرد با انتشار یک PoC جعلی پس از اعلام عمومی آسیبپذیری، افراد را به خطر بی اندازد تا از یک آسیبپذیری RCE در یک برنامه معروف بهرهبرداری کند».
“این PoC جعلی است و از آسیبپذیری WinRAR بهرهبرداری نمیکند، این نشان میدهد که این بازیگر سعی کرده از یک RCE بسیار مورد تقاضا در WinRAR برای به خطر انداختن دیگران استفاده کند.”
منابع
[۱] https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat
[۲] https://nvd.nist.gov/vuln/detail/CVE-2023-25157
[۳] https://thehackernews.com/2023/06/fake-researcher-profiles-spread-malware.html
[۴] https://apa.aut.ac.ir/?p=9850
[۵] https://thehackernews.com/2023/09/north-korean-hackers-exploit-zero-day.html
[۶] https://github.com/whalersplonk
[۷] https://www.uptycs.com/blog/winrar-vulnerability-exploitation
[۸] https://thehackernews.com/2023/08/winrar-security-flaw-exploited-in-zero.html
[۹] https://thehackernews.com/2022/11/lodarat-malware-resurfaces-with-new.html
[۱۰] https://thehackernews.com/2023/09/beware-fake-exploit-for-winrar.html
ثبت ديدگاه