最近,安全研究人员和黑客被一种不寻常的诱惑所困扰:被宣传为证明概念PoC的恶意程式码,这些代码会连结到新的高曝光漏洞。
上个月,一名未知的威胁行为者迅速在他们的GitHub存储库中提交了一个假PoC,声称它是针对四天前公开的WinRAR漏洞的利用工具。
这类PoC不仅对研究人员有吸引力,对其他网络罪犯来说也是一笔宝贵的资源,因为它具备利用这个非常流行的Windows数据压缩、加密和归档工具的潜力。据说WinRAR拥有超过5亿用户。
然而,根据Palo Alto Networks的Unit 42的研究人员报告,从GitHub下载假PoC文件后,引发了一条感染链,最终在好奇者的机器上安装了VenomRAT远端存取木马。
在9月19日的部落格文章中,Unit 42的威胁研究员Robert Falcone表示,该代码是由一名自称“whalersplonk”的用户发布,声称是对WinRAR远端代码执行RCE漏洞的PoC追踪编号为CVE202340477,该漏洞在8月17日由Zero Day Initiative公开报导。
然而,该Python脚本实际上是一个经过篡改的版本,代码来自一个公开可用的GeoServer应用程式的SQL注入漏洞PoC脚本CVE202325157。
whalersplonk的存储库最初是由研究人员@AabyssZG在X前Twitter报导的,现在已从GitHub上删除。
白鲸加速器下载该存储库包含一个READMEmd文件,介绍了WinRAR漏洞及使用pocpy脚本文件的建议。
pocpy文件基于开源的GeoServer PoC脚本,但经过修改以删除明显指出它与WinRAR无关的注释和代码。
该文件也增加了代码,以便在执行时下载一个批处理脚本,运行一个编码的PowerShell脚本。这最终导致下载并运行一个具有键盘记录功能和指挥控制服务器连接的VenomRAT变体。
Falcone在其文章中表示:“我们不认为威胁行为者创建这个假PoC脚本是专门针对研究人员的。”
“相反,这些行为者的目的是 opportunistic,旨在利用其他网络罪犯试图将新漏洞纳入其操作的机会。”
Unit 42分析威胁行为者创建攻击各
白鲸加速器最新版1.45上线,优化节点调度与连接速度,提升日常使用流畅度。
