偽物の「CVE-2023-40477のPoC」がVenomRATを配布 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 偽物の「CVE-2023-40477のPoC」がVenomRATを配布

Threat Report

Silobreaker-CyberAlert

偽物の「CVE-2023-40477のPoC」がVenomRATを配布

佐々山 Tacos

佐々山 Tacos

2023.09.20

偽物の「CVE-2023-40477のPoC」がVenomRATを配布

最終的にVenomRATのインストールに繋がる感染チェーンを引き起こす偽物のPoCについて、Palo Alto NetworksのUnit 42が分析し、新たなレポート内で報告している。この偽PoCは「WinRARにおけるRCEの脆弱性CVE-2023-40477に対するPoC」としてGitHub上で公開されていながらも、実はGeoServerにおける別の脆弱性(CVE-2023-25157)のPoCを再利用して作成されたものだったという。

WinRARの脆弱性が開示されたわずか4日後、偽PoCがアップされる

2023年8月21日、「whalersplonk」というエイリアスの脅威アクターが「WinRARにおけるRCEの脆弱性CVE-2023-40477に対するPoC」とされるものをGitHub上にアップ。これは、同脆弱性が17日に一般開示されてからわずか4日後のことだった。しかしその後、21日中にTwitter(X)上のユーザー「@AabyssZG」が、「このPoCを実行しないでください!」と投稿して同PoCの危険性を指摘していた。

関連記事:WinRARに深刻度の高いRCEの脆弱性:CVE-2023-40477

偽PoCの概要

Unit 42によれば、この偽PoCは「CVE-2023-40477-main.zip」という名のZIPアーカイブで、これにはメインのPythonスクリプト「poc.py」と、PoCの利用説明動画「README.md」が含まれていたという。この動画は、利用者を信用させるためのソーシャルエンジニアリングの手段として使われていたものとみられる。

 

一方、スクリプト(poc.py)の方は、WinRARではなくGeoServerの脆弱性CVE-2023-25157に対するPoCコードに、以下のような変更を加えたものだった。

 

・CVE-2023-25157の詳細に関するコメントを削除

・「PROXY」や「PROXY_ENABLED」など、ネットワーク関連の脆弱性であることを示唆するような行を削除

・「geoserver」という文字列を「exploit」へと変更

・バッチスクリプトをダウンロード・実行するコードを追加

 

このように、元のコードから数行が取り除かれていることから、poc.pyのスクリプト自体は機能しない。しかし、新たに追加されたコード部分だけは実行され、最終的にVenomRATのインストールへと繋がる感染チェーンが引き起こされるのだという。インストールされたVenomRATはキーロガー機能を作動させ、C2サーバーとの通信を行う。

偽PoCの影響を受けた者の人数は不明だが、前述の動画(現時点では利用不能)は121回視聴されており、視聴者の中にはVenomRATにより侵害された者もいる可能性がある。

アクターはWinRARの脆弱性への注目度の高さを利用か

「whalersplonk」は悪意あるコードをユーザーに実行させるにあたって、WinRARの人気の高さやその脆弱性への注目度の高さを利用した可能性があると、Unit 42は指摘している。また、研究者が特に狙われたというわけではなく、むしろwhalersplonkは、開示されて間もない新しい脆弱性を自らのオペレーションに取り入れようとする悪意あるアクターらを侵害することを目論んでいた可能性が高いという。なおUnit 42は、IoCのリストをGitHub上で公開している。

 

(情報源:Palo Alto Networks Unit 42 “Fake CVE-2023-40477 Proof of Concept Leads to VenomRAT”)

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ