Исследователям следует обратить внимание на то, что угрожающие организации используют старый код для быстрого создания поддельного PoC для новой уязвимости. 17 августа 2023 года организация Zero Day Initiative публично сообщила об уязвимости удаленного выполнения кода (RCE) в WinRAR, получившей обозначение CVE-2023-40477. Они сообщили о ней производителю 8 июня 2023 года. Через четыре дня после публичного сообщения о CVE-2023-40477 некий субъект, использующий псевдоним whalersplonk, разместил в своем репозитории GitHub поддельный PoC-скрипт.
Поддельный PoC-скрипт, предназначенный для эксплуатации этой уязвимости WinRAR, был основан на общедоступном PoC-скрипте, эксплуатирующем уязвимость SQL-инъекции в приложении GeoServer, которая отслеживается как CVE-2023-25157. Palo Alto проанализировали поддельный PoC-скрипт и все звенья цепочки заражения, которые в конечном итоге устанавливали полезную нагрузку VenomRAT.
Скорее всего, злоумышленники действуют по принципу оппортунизма и стремятся скомпрометировать других злоумышленников, пытающихся внедрить новые уязвимости в свои операции.
Исходя из хронологии событий, Palo Alto полагают, что злоумышленник создал инфраструктуру и полезную нагрузку независимо от поддельного PoC. Как только уязвимость была обнародована, злоумышленники начали действовать быстро, чтобы воспользоваться серьезностью RCE в популярном приложении. Компания WinRAR заявляет, что у нее более 500 млн. пользователей по всему миру.
Indicators of Compromise
IPv4
- 94.156.253.109
Domains
- checkblacklistwords.eu
URLs
- http://checkblacklistwords.eu/c.txt
- http://checkblacklistwords.eu/check-u/robot?963421355?Ihead=true
- http://checkblacklistwords.eu/words.txt
SHA256
- 7fc8d002b89fcfeb1c1e6b0ca710d7603e7152f693a14d8c0b7514d911d04234
- b77e4af833185c72590d344fd8f555b95de97ae7ca5c6ff5109a2d204a0d2b8e
- b99161d933f023795afd287915c50a92df244e5041715c3381733e30b666fd3b
- c2a2678f6bb0ff5805f0c3d95514ac6eeaeacd8a4b62bcc32a716639f7e62cc4
- ecf96e8a52d0b7a9ac33a37ac8b2779f4c52a3d7e0cf8da09d562ba0de6b30ff