해커가 최근 수정된 WinRAR 취약점에 대한 가짜 증명 개념(PoC)을 GitHub에 퍼뜨려 VenomRAT 악성 코드를 다운로드하는 사용자를 감염시키려고 시도했습다. Palo Alto Networks의 Unit 42 연구팀이 이를 발견하고, 2023년 8월 21일에 해커가 GitHub에 악성 코드를 업로드했다고 보고했습니다. 이 공격은 더 이상 활성화되지 않았지만, GitHub에서 PoC를 가져와 추가적인 심사 없이 실행하는 위험성을 다시 한번 강조하였습니다.

가짜 PoC는 CVE-2023-40477 취약점을 위한 것으로, 특별히 제작된 RAR 파일이 WinRAR 버전 6.23 이전에 열릴 때 임의 코드 실행 취약점을 트리거할 수 있습니다. Trend Micro의 Zero Day Initiative는 이 취약점을 2023년 6월 8일에 WinRAR에 알렸으며, 2023년 8월 17일까지 공개적으로 공개하지 않았습니다. WinRAR은 2023년 8월 2일에 출시된 버전 6.23에서 이 결함을 수정했습니다.

VenomRAT은 Windows 장치에서 실행되면 모든 키 입력을 기록하고 로컬 텍스트 파일에 쓰는 키 로거를 실행합니다. 그 다음, 악성 코드는 C2 서버와 통신을 설정하고, 감염된 장치에서 실행할 아래의 아홉 가지 명령 중 하나를 받습니다. 이 악성 코드는 다른 페이로드를 배포하고 자격 증명을 훔칠 수 있으므로, 이 가짜 PoC를 실행한 사람은 모든 사이트와 환경의 비밀번호를 변경해야 합니다.

요약

- 해커가 최근 수정된 WinRAR 취약점에 대한 가짜 증명 개념(PoC)을 GitHub에 퍼뜨려 VenomRAT 악성 코드를 다운로드하는 사용자를 감염시키려고 시도했다.
- 가짜 PoC는 CVE-2023-40477 취약점을 위한 것으로, 특별히 제작된 RAR 파일이 WinRAR 버전 6.23 이전에 열릴 때 임의 코드 실행 취약점을 트리거할 수 있다.
- VenomRAT은 Windows 장치에서 실행되면 모든 키 입력을 기록하고 로컬 텍스트 파일에 쓰는 키 로거를 실행한다.
- 악성 코드는 C2 서버와 통신을 설정하고, 감염된 장치에서 실행할 아래의 아홉 가지 명령 중 하나를 받는다.
- 이 악성 코드는 다른 페이로드를 배포하고 자격 증명을 훔칠 수 있으므로, 이 가짜 PoC를 실행한 사람은 모든 사이트와 환경의 비밀번호를 변경해야 한다.

Reference

https://www.bleepingcomputer.com/news/security/fake-winrar-proof-of-concept-exploit-drops-venomrat-malware/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*