导 读
一名黑客正在 GitHub 上传播针对最近修复的 WinRAR 漏洞的虚假概念验证 (PoC) 漏洞,试图用 VenomRAT 恶意软件感染下载者。
Palo Alto Networks 的 Unit 42 研究团队发现了该虚假 PoC ,并报告称攻击者于 2023 年 8 月 21 日将恶意代码上传到 GitHub。
该攻击不再活跃,但它再次凸显了从 GitHub 采购 PoC 并在没有额外审查以确保其安全的情况下运行它们的风险。
传播 WinRAR PoC
该伪造的 PoC 针对的是 CVE-2023-40477 漏洞,该漏洞是一个任意代码执行漏洞,在 WinRAR 6.23 之前的版本上打开特制的 RAR 文件时会触发该漏洞。
趋势科技研究人员于 2023 年 6 月 8 日发现并披露了 WinRAR 的漏洞,但直到 2023 年 8 月 17 日才公开披露。WinRAR 在 8 月 2 日发布的 6.23 版本中修复了该漏洞。
以“whalersplonk”为名的攻击者迅速采取行动(4 天),利用这一机会,以新 WinRAR 漏洞利用代码(POC)为幌子传播恶意软件。
“红队队员”在 Twitter 上对恶意 PoC 发出警告
攻击者在 README 文件中包含了摘要,并通过一个可流式传输的视频演示了如何使用 PoC,这进一步增加了恶意包的合法性。
Unit 42 报告称,伪造的 Python PoC 脚本实际上是对另一个缺陷CVE-2023-25157 的公开利用漏洞的修改,这是一个影响 GeoServer 的关键 SQL 注入缺陷。
真实的 PoC(左)和修改后的脚本(右) (Unit 42)
执行时,PoC 不会运行漏洞利用程序,而是创建一个批处理脚本,用于下载编码的 PowerShell 脚本并在主机上执行它。
该脚本下载 VenomRAT 恶意软件并创建一个计划任务以每三分钟运行一次。
VenomRAT 感染
一旦 VenomRAT 在 Windows 设备上启动,它就会执行一个按键记录器,记录所有按键操作并将其写入本地存储的文本文件。
接下来,恶意软件与 C2 服务器建立通信,从那里接收以下九个命令之一,以便在受感染的设备上执行:
-
plu_gin:激活注册表存储的插件。
-
HVNCStop:终止“cvtres”进程。
-
loadofflinelog:从 %APPDATA% 发送离线键盘记录器数据。
-
save_Plugin:将插件保存到硬件 ID 下的注册表中。
-
runningapp:显示活动进程。
-
keylogsetting:更新 %APPDATA% 中的密钥日志文件。
-
init_reg:删除软件注册表中硬件 ID 下的子项。
-
Po_ng:测量 PING 到 C2 服务器和接收此命令之间的时间。
-
filterinfo:列出注册表中已安装的应用程序和活动进程。
由于该恶意软件可用于部署其他有效负载并窃取凭据,因此执行此虚假 PoC 的任何人都应该更改其拥有帐户的所有站点和环境的密码。
Unit 42 分享的事件时间表表明,攻击者早在公开披露 WinRAR 缺陷之前就准备好了用于攻击的基础设施和有效负载,然后等待合适的时机来制作欺骗性的 PoC。
这意味着同一攻击者将来可能会利用安全社区对新发现漏洞的高度关注来传播其他针对各种缺陷的误导性 PoC。
GitHub 上的虚假 PoC 是一种有据可查的攻击,攻击者的目标是其他网络犯罪分子或安全研究人员。
2022 年底,研究人员发现了 数千个 GitHub 存储库 ,这些存储库宣传针对各种漏洞的欺诈性 PoC 漏洞利用,其中一些部署了恶意软件、恶意 PowerShell 脚本、隐藏的信息窃取程序下载程序和 Cobalt Strike 植入程序。
最近,2023 年 6 月,攻击者冒充网络安全研究人员, 利用恶意软件发布了多个针对 Linux 和 Windows 系统的虚假 0day 漏洞。
参考链接:https://www.bleepingcomputer.com/news/security/fake-winrar-proof-of-concept-exploit-drops-venomrat-malware/
今日安全资讯速递
APT事件
Advanced Persistent Threat
中东电信公司受到疑似民族国家支持的新恶意软件攻击
https://therecord.media/middle-east-telecommunications-httpsnoop-malware
中国公司成为神秘恶意软件团伙的目标
https://cybernews.com/security/china-firms-targeted-malware/
一般威胁事件
General Threat Incidents
伪造的 WinRAR 概念验证漏洞会释放 VenomRAT 恶意软件针对安全研究人员
https://www.bleepingcomputer.com/news/security/fake-winrar-proof-of-concept-exploit-drops-venomrat-malware/
基于 Tor 的暗网市场 Piilopuoti 被执法部门关闭
https://therecord.media/europol-finland-take-down-pillopuoti-dark-web-market
Signal升级加密以抵御量子攻击
https://cybernews.com/tech/signal-upgrades-encryption-quantum-attacks/
P2PInfect 僵尸网络活动因更隐蔽的恶意软件变体激增 600 倍
https://www.bleepingcomputer.com/news/security/p2pinfect-botnet-activity-surges-600x-with-stealthier-malware-variants/
T-Mobile 应用程序故障导致可以查看其他人的帐户信息
https://www.bleepingcomputer.com/news/security/t-mobile-app-glitch-let-users-see-other-peoples-account-info/
堪萨斯州一座小城市遭受网络攻击影响电子邮件、电话和在线支付系统
https://therecord.media/pittsburg-kansas-government-cyberattack
新一波恶意 npm 软件包威胁 Kubernetes 配置和 SSH 密钥
https://thehackernews.com/2023/09/fresh-wave-of-malicious-npm-packages.html
亲俄罗斯黑客组织发起的网络攻击导致加拿大多个机场大范围服务中断
https://therecord.media/canada-border-checkpoint-outages-ddos-attack-russia
漏洞事件
Vulnerability Incidents
瑞士Proton公司的密码管理器Proton Pass安全漏洞曝光:Firefox 用户面临风险
https://cybernews.com/security/proton-pass-security-flaw/
Nagios XI 网络监控软件暴严重安全漏洞
https://thehackernews.com/2023/09/critical-security-flaws-exposed-in.html
GitLab针对关键漏洞发布紧急安全补丁
https://thehackernews.com/2023/09/gitlab-releases-urgent-security-patches.html
Atos Unify 产品漏洞可能导致系统重新配置或安装后门
https://www.securityweek.com/atos-unify-vulnerabilities-could-allow-hackers-to-backdoor-systems/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(会杀毒的单反狗):伪造的 WinRAR 漏洞概念验证代码(PoC)会释放 VenomRAT 恶意软件针对安全研究人员
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论