Kötü niyetli bir aktör, kodu indiren kullanıcılara Venom RAT kötü amaçlı yazılımını bulaştırmak amacıyla GitHub’da yakın zamanda açıklanan bir WinRAR güvenlik açığı için sahte bir kavram kanıtı (PoC) istismarı yayınladı.
“Bu WinRAR güvenlik açığından yararlanmayı amaçlayan sahte PoC, GeoServer adlı bir uygulamadaki SQL enjeksiyon güvenlik açığından yararlanan ve şu şekilde izlenen, halka açık bir PoC komut dosyasına dayanıyordu: CVE-2023-25157,” Palo Alto Networks Birim 42 araştırmacısı Robert Falcone söz konusu.
Sahte PoC’ler araştırma topluluğunu hedef almak için iyi belgelenmiş bir kumar haline gelmiş olsa da siber güvenlik firması, tehdit aktörlerinin fırsatçı bir şekilde en son güvenlik açıklarını cephaneliklerine benimseyen diğer dolandırıcıları hedef aldığından şüpheleniyordu.
balina avcısısplonk, GitHub hesabı Depoyu barındıran dosyaya artık erişilemiyor. PoC’nin, güvenlik açığının kamuya duyurulmasından dört gün sonra, 21 Ağustos 2023’te gerçekleştirildiği söyleniyor.
CVE-2023-40477, Windows sistemlerinde uzaktan kod yürütme (RCE) sağlamak için WinRAR yardımcı programında kullanılabilecek uygunsuz bir doğrulama sorunuyla ilgilidir. Geçen ay WinRAR 6.23 sürümünün bakımcıları tarafından başka bir sürümle birlikte ele alındı. aktif olarak yararlanılan kusur CVE-2023-38831 olarak izlendi.
Deponun analizi, bir Python betiğini ve istismarın nasıl kullanılacağını gösteren bir Akışlı videoyu ortaya koyuyor. Video toplamda 121 kez izlendi.
Python betiği, PoC’yi çalıştırmak yerine uzak bir sunucuya ulaşır (checkblacklistwords)[.]eu) Venom RAT’ın bir çeşidi olan Windows.Gaming.Preview.exe adlı yürütülebilir dosyayı getirmek için. Çalışan işlemleri listeleme ve aktör kontrollü bir sunucudan komut alma yetenekleriyle birlikte gelir (94.156.253)[.]109).
Yapay Zeka ve Yapay Zeka: Yapay Zeka Destekli Risklere Karşı Yapay Zeka Savunmalarından Yararlanma
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Saldırı altyapısının daha yakından incelenmesi, tehdit aktörünün kara liste kelimelerini oluşturduğunu gösteriyor[.]Kusurun kamuya açıklanmasından en az 10 gün önce eu etki alanından yararlanıldı ve ardından potansiyel mağdurların ilgisini çekmek için hatanın kritikliği hızla ele alındı.
Falcone, “Bilinmeyen bir tehdit aktörü, güvenlik açığının kamuya duyurulmasının ardından, iyi bilinen bir uygulamadaki RCE güvenlik açığından yararlanmak için sahte bir PoC yayınlayarak bireyleri tehlikeye atmaya çalıştı” dedi.
“Bu PoC sahtedir ve WinRAR güvenlik açığından faydalanmamaktadır, bu da aktörün WinRAR’da çok aranan bir RCE’den yararlanarak diğerlerini tehlikeye atmaya çalıştığını düşündürmektedir.”
