Siber suçun şeyleri truva atı haline getirme eğilimine yeni bir soluk getiren bir tehdit aktörü, yakın zamanda VenomRAT kötü amaçlı yazılımını gizleyen sahte bir kavram kanıtı (PoC) istismarı oluşturmak için “sıcak” bir güvenlik açığı ifşasına saldırdı.
Buna göre Palo Alto Networks’ten araştırma“whalerssplonk” olarak anılan siber saldırgan, 17 Ağustos’ta kamuoyuna açıklanan WinRAR’daki (CVE-2023-40477) son derece gerçek bir uzaktan kod yürütme (RCE) güvenlik hatasından yararlandı. ancak aynı hafta kusurun dikkat çekeceğini bilerek GitHub deposuna gönderdiği hata için sahte PoC – sonuçta WinRAR’ın dünya çapında 500 milyondan fazla kullanıcısı var.
Araştırmacılara göre PoC, GeoServer adlı bir uygulamadaki SQL enjeksiyon güvenlik açığına yönelik halka açık bir PoC komut dosyasına dayandığı için inandırıcıydı. Gerçekte, açıldığında VenomRAT yükünün kurban bilgisayarlarına kurulmasıyla sonuçlanan bir enfeksiyon zincirini başlattı. VenomRAT, Dark Web forumlarında satışa çıktı yaz boyunca casus yazılım ve kalıcılık yetenekleriyle dolu.
Bu tür kumar ilk bakışta güvenlik araştırmacılarını casusluk araçlarıyla hedef alma şeklindeki denenmiş ve onaylanmış geleneğin bir parçası gibi görünse de, Palo Alto araştırmacıları bunun aslında fail için daha çok bir şaka olduğunu düşünüyor.
“Olasıdır [that] Firmanın 19 Eylül’de yayınlanan araştırmasına göre, aktörler fırsatçı ve operasyonlarına yeni güvenlik açıkları eklemeye çalışan diğer kötü niyetli kişilerle uzlaşmaya çalışıyorlar. “Aktörler, popüler bir uygulamadaki RCE’nin ciddiyetinden yararlanmak için hızlı bir şekilde harekete geçti.”