Một tác nhân đe dọa đã phát hành mã khai thác (PoC) giả mạo cho lỗ hổng WinRAR được tiết lộ gần đây trên GitHub nhằm mục đích lây nhiễm phần mềm độc hại VenomRAT cho những người dùng đã tải xuống mã.
Nhà nghiên cứu Robert Falcone của Palo Alto Networks Unit 42 cho biết: “PoC giả mạo cho lỗ hổng WinRAR này dựa trên mã PoC có sẵn công khai dùng để khai thác lỗ hổng SQL injection được định danh CVE-2023-25157 trong ứng dụng GeoServer”.
Việc sử dụng các PoC giả để nhắm mục tiêu vào cộng đồng nghiên cứu không phải là một chiến thuật tấn công mới, tuy nhiên công ty bảo mật nghi ngờ rằng kẻ đứng sau việc này đang nhắm mục tiêu đến những kẻ lừa đảo khác, những người có thể đang lợi dụng các lỗ hổng mới nhất để bổ sung vào kho công cụ tấn công của họ.
Whalersplonk, tài khoản GitHub phát hành kho lưu trữ, hiện không thể truy cập được nữa. PoC được cho là đã được commit vào ngày 21 tháng 8 năm 2023, bốn ngày sau khi lỗ hổng được công bố công khai.
CVE-2023-40477, liên quan đến vấn đề kiểm tra xác thực không chính xác trong tiện ích WinRAR, có thể bị khai thác để thực thi mã từ xa (RCE) trên hệ thống Windows. Nó đã được các nhà bảo trì giải quyết vào tháng trước trong phiên bản WinRAR 6.23, cùng với một lỗ hổng đã bị khai thác trong thực tế khác - CVE-2023-38831.
Phân tích kho lưu trữ cho thấy tập lệnh Python và video trình bày cách sử dụng mã khai thác đã có hơn 100 lượt xem.
Tập lệnh Python không chạy PoC mà kết nối đến một máy chủ từ xa (checkblacklistwords[.]eu) để tải về tệp thực thi có tên Windows.Gaming.Preview.exe, một biến thể của Venom RAT, có khả năng liệt kê các tiến trình đang chạy và nhận lệnh từ máy chủ do tác nhân đe dọa điều khiển (94.156.253[.]109).
Phân tích cơ sở hạ tầng tấn công cho thấy tác nhân đe dọa đã tạo tên miền checkblacklistwords[.]eu ít nhất 10 ngày trước khi lỗ hổng được tiết lộ công khai, sau đó nhanh chóng nắm bắt mức độ nghiêm trọng của lỗ hổng để thu hút nạn nhân tiềm năng.
Người dùng - những nhà nghiên cứu bảo mật - cần xem xét, kiểm tra cẩn thận trước khi tải về mã (code) từ những nguồn không tin cậy và nên cách ly mã trong môi trường thử nghiệm (máy ảo) để tránh các rủi ro tiềm ẩn.
Nguồn: thehackernews.com.
Tín nhiệm mạng | GitLab kêu gọi người dùng nhanh chóng cài đặt bản vá cho lỗ hổng pipeline nghiêm trọng
Tín nhiệm mạng | Bộ phận nghiên cứu AI của Microsoft đã vô tình làm rò rỉ hàng chục terabyte dữ liệu nhạy cảm từ tháng 7 năm 2020 trong khi đang đóng góp các mô hình học tập AI nguồn mở cho kho lưu trữ GitHub công khai
Tín nhiệm mạng | Nhóm tấn công APT36, hay còn gọi là 'Transparent Tribe', được phát hiện đã sử dụng ít nhất ba ứng dụng Android bắt chước YouTube để lây nhiễm trojan truy cập từ xa (RAT) vào các thiết bị.
Tín nhiệm mạng | Ủy ban bảo vệ dữ liệu Ireland đã phạt TikTok 345 triệu euro vì vi phạm Quy định bảo vệ dữ liệu chung của Liên minh châu Âu liên quan đến việc xử lý dữ liệu trẻ em.
Tín nhiệm mạng | Mozilla đã phát hành các bản cập nhật bảo mật khẩn cấp để khắc phục lỗ hổng zero-day nghiêm trọng đã bị khai thác trong thực tế, ảnh hưởng đến trình duyệt web Firefox và ứng dụng email Thunderbird
Tín nhiệm mạng | Microsoft đã phát hành bản cập nhật bảo mật hàng tháng Patch Tuesday của tháng này để giải quyết 59 lỗ hổng, trong đó có hai lỗ hổng zero-day đã bị khai thác trong thực tế.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
