Ένας χάκερ διαδίδει ένα ψεύτικο exploit απόδειξης της ιδέας (PoC) για μια ευπάθεια WinRAR που επιδιορθώθηκε πρόσφατα στο GitHub, επιχειρώντας να μολύνει προγράμματα λήψης με το κακόβουλο λογισμικό VenomRAT.
Το ψεύτικο εκμετάλλευση PoC εντοπίστηκε από
Palo Alto Networks’ Unit 42
ομάδα ερευνητών, οι οποίοι ανέφεραν ότι ο εισβολέας ανέβασε τον κακόβουλο κώδικα στο GitHub στις 21 Αυγούστου 2023.
Η επίθεση δεν είναι πλέον ενεργή, αλλά υπογραμμίζει για άλλη μια φορά τους κινδύνους από την προμήθεια PoC από το GitHub και την εκτέλεση τους χωρίς πρόσθετο έλεγχο για να διασφαλιστεί ότι είναι ασφαλή.
Διάδοση του WinRAR PoC
Το ψεύτικο PoC είναι για την ευπάθεια CVE-2023-40477, μια ευπάθεια εκτέλεσης αυθαίρετου κώδικα που μπορεί να ενεργοποιηθεί όταν ανοίγουν ειδικά δημιουργημένα αρχεία RAR στο WinRAR πριν από την έκδοση 6.23.
Η Trend Micro’s Zero Day Initiative ανακάλυψε και αποκάλυψε την ευπάθεια στο WinRAR στις 8 Ιουνίου 2023, αλλά δεν την αποκάλυψε δημόσια μέχρι τις 17 Αυγούστου 2023. Η WinRAR διόρθωσε το ελάττωμα στην έκδοση 6.23, η οποία κυκλοφόρησε στις 2 Αυγούστου.
Ένας παράγοντας απειλών που λειτουργεί με το όνομα “whalersplonk” κινήθηκε γρήγορα (4 ημέρες) για να εκμεταλλευτεί την ευκαιρία διαδίδοντας κακόβουλο λογισμικό υπό το πρόσχημα του κώδικα εκμετάλλευσης για τη νέα ευπάθεια WinRAR.
Το “Red teamer” προειδοποιεί για το κακόβουλο PoC στο Twitter
Ο παράγοντας απειλής περιέλαβε μια περίληψη στο αρχείο README και ένα βίντεο με δυνατότητα
ροής
που δείχνει πώς να χρησιμοποιείτε το PoC, το οποίο πρόσθεσε περαιτέρω νομιμότητα στο κακόβουλο πακέτο.
Ωστόσο, η Ενότητα 42 αναφέρει ότι το ψεύτικο σενάριο Python PoC είναι στην πραγματικότητα μια τροποποίηση ενός διαθέσιμου στο κοινό εκμετάλλευσης για ένα άλλο ελάττωμα,
CVE-2023-25157
ένα κρίσιμο σφάλμα SQL injection που επηρεάζει τον GeoServer.
Πραγματικό PoC (αριστερά) και τροποποιημένο σενάριο (δεξιά)
(Μονάδα 42)
Όταν εκτελείται, αντί να εκτελέσει το exploit, το PoC δημιουργεί ένα σενάριο δέσμης που κατεβάζει ένα κωδικοποιημένο σενάριο
PowerShell
και το εκτελεί στον κεντρικό υπολογιστή.
Αυτό το σενάριο κατεβάζει το κακόβουλο λογισμικό VenomRAT και δημιουργεί μια προγραμματισμένη εργασία για να εκτελείται κάθε τρία λεπτά.
Λοιμώξεις VenomRAT
Μόλις εκκινηθεί το VenomRAT σε μια συσκευή Windows, εκτελεί ένα καταγραφικό πλήκτρων που καταγράφει όλα τα πατήματα πλήκτρων και τα εγγράφει σε ένα τοπικά αποθηκευμένο αρχείο κειμένου.
Στη συνέχεια, το κακόβουλο λογισμικό δημιουργεί επικοινωνία με τον διακομιστή C2, από όπου λαμβάνει μία από τις ακόλουθες εννέα εντολές για εκτέλεση στη μολυσμένη συσκευή:
-
συνδέω
: Ενεργοποιεί μια προσθήκη που είναι αποθηκευμένη στο μητρώο. -
HVNCStop
: Σκοτώνει τη διαδικασία “cvtres”. -
loadofflinelog
: Στέλνει δεδομένα καταγραφής κλειδιών εκτός σύνδεσης από %APPDATA%. -
save_Plugin
: Αποθηκεύει μια προσθήκη στο μητρώο κάτω από ένα αναγνωριστικό υλικού. -
τρέχουσα
εφαρμογή
: Εμφανίζει ενεργές διεργασίες. -
ρύθμιση πληκτρολογίου
: Ενημερώνει το αρχείο καταγραφής κλειδιών στο %APPDATA%. -
init_reg
: Διαγράφει τα δευτερεύοντα κλειδιά στο μητρώο λογισμικού κάτω από ένα αναγνωριστικό υλικού. -
Po_ng
: Μετρά το χρόνο μεταξύ ενός PING στον διακομιστή C2 και της λήψης αυτής της εντολής. -
πληροφορίες φίλτρου
: Εμφανίζει τις εγκατεστημένες εφαρμογές και τις ενεργές διεργασίες από το μητρώο.
Καθώς το κακόβουλο λογισμικό μπορεί να χρησιμοποιηθεί για την ανάπτυξη άλλων ωφέλιμων φορτίων και την κλοπή διαπιστευτηρίων, όποιος εκτέλεσε αυτό το ψεύτικο PoC θα πρέπει να αλλάξει τους κωδικούς πρόσβασης για όλους τους ιστότοπους και τα περιβάλλοντα που έχουν λογαριασμούς.
Το χρονοδιάγραμμα των συμβάντων που μοιράζεται η Ενότητα 42 υποδηλώνει ότι ο παράγοντας απειλών προετοίμασε την
υποδομή
για την επίθεση και το ωφέλιμο φορτίο πολύ πριν από τη δημόσια αποκάλυψη του ελαττώματος του WinRAR και στη συνέχεια περίμενε την κατάλληλη στιγμή για να δημιουργήσει ένα παραπλανητικό PoC.
Αυτό σημαίνει ότι ο ίδιος εισβολέας θα μπορούσε, στο μέλλον, να αξιοποιήσει την αυξημένη προσοχή της κοινότητας ασφαλείας σε ευπάθειες που αποκαλύφθηκαν πρόσφατα για να διαδώσει άλλα παραπλανητικά PoC για διάφορα ελαττώματα.
Τα ψεύτικα PoC στο GitHub είναι μια καλά τεκμηριωμένη επίθεση όπου οι παράγοντες απειλών στοχεύουν άλλους εγκληματίες και ερευνητές ασφαλείας.
Στα τέλη του 2022, οι ερευνητές ανακάλυψαν χιλιάδες αποθετήρια GitHub που προωθούν δόλιες εκμεταλλεύσεις PoC για διάφορα τρωτά σημεία, με πολλά που αναπτύσσουν κακόβουλο λογισμικό, κακόβουλα σενάρια PowerShell, προγράμματα λήψης κρυφών κλέφτη πληροφοριών και σταγονόμετρο Cobalt Strike.
Πιο πρόσφατα, τον Ιούνιο του 2023, επιτιθέμενοι που παριστάνουν τους ερευνητές της κυβερνοασφάλειας κυκλοφόρησαν πολλά εικονικά 0-day exploit που στοχεύουν συστήματα Linux και Windows με κακόβουλο λογισμικό.