Bilinmeyen bir tehdit aktörü, VenomRAT kötü amaçlı yazılımını yaymak için WinRAR’da yakın zamanda düzeltilen bir uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2023-4047 için sahte bir kavram kanıtı (PoC) istismarı yayınladı.
Sahte WinRAR PoC
17 Ağustos 2023’te Trend Micro’nun Sıfır Gün Girişimi, tehdit aktörlerinin etkilenen bir WinRAR kurulumunda rastgele kod çalıştırmasına izin veren RCE güvenlik açığını (CVE-2023-4047) bildirdi.
Saldırgan (“whalerssplonk”), güvenlik açığının kamuoyuna duyurulmasından yalnızca dört gün sonra GitHub’da sahte bir PoC yayınlama fırsatını yakaladı.
Sahte PoC, GeoServer’daki (CVE-2023-25157) SQL enjeksiyon güvenlik açığına yönelik halka açık PoC kodunu temel alıyor.
“ [exploit] poc.py Birkaç kod satırının kaldırılması nedeniyle komut dosyası artık düzgün çalışmıyor. Ancak, komut dosyasına eklenen kötü amaçlı kod, komut dosyası bir istisnayla sonuçlanmadan önce düzgün şekilde çalışıyor,” diye belirtti Palo Alto Networks’ün Birim 42’sinden araştırmacı Robert Falcone.
“PoC betiği, iddia edildiği gibi WinRAR güvenlik açığından yararlanmak yerine, (birkaç adımdan sonra) bir VenomRAT verisi yükleyecek bir enfeksiyon zincirini başlatıyor.”
Saldırganın GitHub deposu (kaldırıldığından beri) CVE-2023-40477 güvenlik açığının özetini ve güvenlik açığının kullanım talimatlarını içeren bir README dosyası içeriyordu. poc.py Senaryo ve Streamable’da barındırılan bir tanıtım videosu, bunların hepsi güvenilirliğine katkıda bulundu.
Kötü amaçlı yazılımların PoC’ler aracılığıyla yayılması
Bu, kötü amaçlı yazılım kullanan kürekçilerin bu tekniği ilk kez kullanmaları değil; Tehdit aktörleri genellikle güvenlik açıklarını analiz etmelerine ve anlamalarına yardımcı olacak halka açık PoC’ler arayan araştırmacıları hedef alır.
Her ne kadar uzlaşmaların sayısı bilinmese de Falcone, aktörün sahte istismar senaryosuyla birlikte sunduğu eğitici videonun 121 kez izlendiğini kaydetti. Saldırganın niyeti konusunda da şüpheleri var.
“Tehdit aktörünün bu sahte PoC komut dosyasını özellikle araştırmacıları hedef almak için oluşturduğunu düşünmüyoruz. Aksine, aktörlerin fırsatçı olması ve operasyonlarına yeni güvenlik açıkları eklemeye çalışan diğer kötü niyetli kişilerle uzlaşmaya çalışması muhtemeldir” dedi Falcone.
“Tehdit aktörünün altyapıyı ve yükü sahte PoC’den ayrı oluşturduğuna inanıyoruz. Güvenlik açığı kamuya açıklandıktan sonra aktörler, potansiyel kurbanları cezbetmek için WinRAR gibi popüler bir uygulamadaki RCE’nin ciddiyetini kullanmak üzere hızla sahte PoC oluşturdular.”