以WinRAR漏洞验证PoC代码的名义在GitHub上投递恶意软件

最近的网络安全观察中发现，恶意行为者针对 GitHub 上最近披露的 WinRAR 漏洞发布了虚假概念验证 (PoC) 漏洞，目的是用 Venom RAT 恶意软件感染下载代码的用户。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，旨在利用此 WinRAR 漏洞的虚假 PoC 是基于公开可用的 PoC 脚本，该脚本利用了名为 GeoServer 的应用程序中的 SQL 注入漏洞，该漏洞被跟踪为 CVE-2023-25157。

虽然伪造的 PoC 已成为针对研究界的一种有据可查的策略，但安全研究人员怀疑威胁行为者正在伺机瞄准其他可能将最新漏洞纳入其武器库的骗子。

托管该存储库的 GitHub 帐户halersplonk不再可访问。据称该 PoC 于 2023 年 8 月 21 日提交，即该漏洞公开宣布四天后。

CVE-2023-40477 涉及WinRAR 实用程序中的不正确验证问题，该实用程序可被利用以在 Windows 系统上实现远程代码执行 (RCE)。上个月，维护人员在 WinRAR 6.23 版本中解决了这个问题，同时还发现了另一个被积极利用的漏洞CVE-2023-38831。

与运行 PoC 不同，Python 脚本会访问远程服务器 (checkblacklistwords.eu) 以获取名为 Windows.Gaming.Preview.exe 的可执行文件，该可执行文件是 Venom RAT 的变体。它具有列出正在运行的进程并从参与者控制的服务器（94.156.253.109）接收命令的功能。

对攻击基础设施的仔细检查表明，威胁行为者至少在公开披露该漏洞前 10 天创建了 checkblacklistwords.eu 域，然后迅速抓住该漏洞的严重性来吸引潜在的受害者。

极牛攻防实验室表示，一名未知的威胁参与者试图在漏洞公开后发布虚假 PoC，以利用知名应用程序中的 RCE 漏洞来危害个人。这个 PoC 是假的，并且没有利用 WinRAR 漏洞，表明攻击者试图利用 WinRAR 中备受追捧的 RCE 来危害他人。