bencede
New member
Geliştiriciler, Ağustos ortasında WinRAR 6.23 sürümüyle yüksek riskli olarak sınıflandırılan ve saldırılarda zaten istismar edilen bir güvenlik açığını kapattı. Artık BT güvenliği araştırmacıları, güvenlik açığından nasıl yararlanılacağını göstermesi gereken sözde bir kavram kanıtı kodu keşfettiler. Ancak bu tamamen farklı bir güvenlik açığıdır ve kendisini bilgisayarınıza sabitleyen VenomRAT kötü amaçlı yazılımını bulaştırır.
Duyuru
Palo Alto’nun Unit42’sinden BT analistleri, yaptıkları analizde, takma ad altında kötü niyetli aktörlerin bulunduğunu yazıyor balina avcısı Güvenlik açığını CVE-2023-40477 CVE numarasıyla kamuya açıkladıktan dört gün sonra Github depolarına sahte bir test komut dosyası yayınladılar.
Kavramın yanlış kanıtı: BT güvenliği araştırmacıları muhtemelen onların görüş alanında değil
BT adli tıp uzmanları öyle varsayıyor balina avcısı özellikle BT güvenliği araştırmacılarını hedef almamaktadır. Saldırganların fırsatçı davrandıkları ve suç faaliyetlerinde yeni güvenlik açıklarından yararlanan diğer dolandırıcıların güvenliğini tehlikeye atmak istedikleri izlenimine sahip olacaklardır.
Unit42 araştırmacıları, olayların sırasını temel alarak saldırganların altyapıyı ve kötü amaçlı kodu sahte PoC’den bağımsız olarak oluşturduğuna inanıyor. “Güvenlik açığı halka açık hale gelir gelmez yazarlar, popüler bir uygulamadaki kod kaçakçılığı güvenlik açığından yararlanmak için hızlı bir şekilde harekete geçti. WinRAR’ın dünya çapında 500 milyondan fazla kullanıcısı olduğu iddia ediliyor” diye yazıyorlar.
Diğer güvenlik açıkları için dönüştürülen kavram kanıtı
Sunulan PoC istismarı, CVE-2023-25157 CVE girişine sahip Geoserver yazılımındaki bir güvenlik açığına ilişkin önceden mevcut olan bir kavram kanıtına dayanmaktadır. Yürütüldüğünde, WinRAR güvenlik açığının kötüye kullanıldığını göstermez; bunun yerine, sonunda VenomRAT kötü amaçlı yazılımının yüklendiği bir enfeksiyon zinciri başlatır.
Zero Day Initiative, WinRAR güvenlik açığını 17 Ağustos’ta bildirirken, PoC kötü amaçlı yazılımını içeren arşivde 21 Ağustos zaman damgası bulunuyor. Github deposu o zamandan beri kaldırıldı. Sahte PoC bir Python betiğiydi. Bir tane vardı README.mdPotansiyel kurbanları, betiğin nasıl kullanılacağına dair sözde talimatlar içeren kodu çalıştırmaya ikna etmeye çalışan dosya. Bağlantılı bir video 100’den fazla görüntüleme aldı.
Komut dosyasının kendisi, CVE-2023-25157 güvenlik açığıyla ilgili yorumlar için siber suçlular tarafından kolaylaştırıldı. Ayrıca ağla ilgili bir güvenlik açığını belirten kod satırlarını da kaldırdılar. PROXY VEYA PROXY_ENABLED. Senaryodaki isimleri değiştirmeye devam ettiler geoserver İLE exploit. Son olarak toplu komut dosyasını indirip çalıştıran kodu eklediler. Siber araştırmacılar, değişikliklerin yararlanma kodunun artık doğru şekilde çalışmamasına neden olduğunu ekliyor. Ancak kötü amaçlı indirme kodu, komut dosyası bir istisnayla sona erene kadar düzgün çalışır.
Toplu iş dosyası bir Powershell betiğini başlatır, bu da başka bir PS betiğini indirir ve bu da yürütülebilir dosyayı indirir. %APPDATA%DriversWindows.Gaming.Preview.exe bilgisayarınızda ve zamanlanmış bir görev olarak Windows’a eklenir. Dosyayı her üç dakikada bir başlatır ve böylece kalıcılık sağlar. Bu VenomRAT’ın bir çeşididir. Bir komuta ve kontrol sunucusuyla iletişime geçin ve tuş vuruşlarını kaydedin.
Bu nedenle böyle bir kavram kanıtını deneyen herkes bilgisayarlarında enfeksiyon olup olmadığını kontrol etmelidir. Kirlenmiş kavram kanıtı kodu yeni bir trend haline gelmiş gibi görünüyor. Haziran ayında, siber suçluların BT güvenlik araştırmacılarının Github’daki çeşitli güvenlik açıklarına yönelik kavram kanıtı istismarlarına işaret eden sahte profilleri oluşturduğu bir kampanya biliniyordu. Aslında bunun arkasında ilgili tarafların bilgisayarlarına bulaşmayı amaçlayan kötü amaçlı yazılımlar yatıyor.
(Bilmiyorum)
Haberin Sonu
Duyuru
Palo Alto’nun Unit42’sinden BT analistleri, yaptıkları analizde, takma ad altında kötü niyetli aktörlerin bulunduğunu yazıyor balina avcısı Güvenlik açığını CVE-2023-40477 CVE numarasıyla kamuya açıkladıktan dört gün sonra Github depolarına sahte bir test komut dosyası yayınladılar.
Kavramın yanlış kanıtı: BT güvenliği araştırmacıları muhtemelen onların görüş alanında değil
BT adli tıp uzmanları öyle varsayıyor balina avcısı özellikle BT güvenliği araştırmacılarını hedef almamaktadır. Saldırganların fırsatçı davrandıkları ve suç faaliyetlerinde yeni güvenlik açıklarından yararlanan diğer dolandırıcıların güvenliğini tehlikeye atmak istedikleri izlenimine sahip olacaklardır.
Unit42 araştırmacıları, olayların sırasını temel alarak saldırganların altyapıyı ve kötü amaçlı kodu sahte PoC’den bağımsız olarak oluşturduğuna inanıyor. “Güvenlik açığı halka açık hale gelir gelmez yazarlar, popüler bir uygulamadaki kod kaçakçılığı güvenlik açığından yararlanmak için hızlı bir şekilde harekete geçti. WinRAR’ın dünya çapında 500 milyondan fazla kullanıcısı olduğu iddia ediliyor” diye yazıyorlar.
Diğer güvenlik açıkları için dönüştürülen kavram kanıtı
Sunulan PoC istismarı, CVE-2023-25157 CVE girişine sahip Geoserver yazılımındaki bir güvenlik açığına ilişkin önceden mevcut olan bir kavram kanıtına dayanmaktadır. Yürütüldüğünde, WinRAR güvenlik açığının kötüye kullanıldığını göstermez; bunun yerine, sonunda VenomRAT kötü amaçlı yazılımının yüklendiği bir enfeksiyon zinciri başlatır.
Zero Day Initiative, WinRAR güvenlik açığını 17 Ağustos’ta bildirirken, PoC kötü amaçlı yazılımını içeren arşivde 21 Ağustos zaman damgası bulunuyor. Github deposu o zamandan beri kaldırıldı. Sahte PoC bir Python betiğiydi. Bir tane vardı README.mdPotansiyel kurbanları, betiğin nasıl kullanılacağına dair sözde talimatlar içeren kodu çalıştırmaya ikna etmeye çalışan dosya. Bağlantılı bir video 100’den fazla görüntüleme aldı.
Komut dosyasının kendisi, CVE-2023-25157 güvenlik açığıyla ilgili yorumlar için siber suçlular tarafından kolaylaştırıldı. Ayrıca ağla ilgili bir güvenlik açığını belirten kod satırlarını da kaldırdılar. PROXY VEYA PROXY_ENABLED. Senaryodaki isimleri değiştirmeye devam ettiler geoserver İLE exploit. Son olarak toplu komut dosyasını indirip çalıştıran kodu eklediler. Siber araştırmacılar, değişikliklerin yararlanma kodunun artık doğru şekilde çalışmamasına neden olduğunu ekliyor. Ancak kötü amaçlı indirme kodu, komut dosyası bir istisnayla sona erene kadar düzgün çalışır.
Toplu iş dosyası bir Powershell betiğini başlatır, bu da başka bir PS betiğini indirir ve bu da yürütülebilir dosyayı indirir. %APPDATA%DriversWindows.Gaming.Preview.exe bilgisayarınızda ve zamanlanmış bir görev olarak Windows’a eklenir. Dosyayı her üç dakikada bir başlatır ve böylece kalıcılık sağlar. Bu VenomRAT’ın bir çeşididir. Bir komuta ve kontrol sunucusuyla iletişime geçin ve tuş vuruşlarını kaydedin.
Bu nedenle böyle bir kavram kanıtını deneyen herkes bilgisayarlarında enfeksiyon olup olmadığını kontrol etmelidir. Kirlenmiş kavram kanıtı kodu yeni bir trend haline gelmiş gibi görünüyor. Haziran ayında, siber suçluların BT güvenlik araştırmacılarının Github’daki çeşitli güvenlik açıklarına yönelik kavram kanıtı istismarlarına işaret eden sahte profilleri oluşturduğu bir kampanya biliniyordu. Aslında bunun arkasında ilgili tarafların bilgisayarlarına bulaşmayı amaçlayan kötü amaçlı yazılımlar yatıyor.
(Bilmiyorum)
Haberin Sonu