WinRARからのVenomRAT

WinRARは利用者の多い人気のソフトウェアです。
WinRARはアーカイバーです。
書庫ファイルの作成・展開・修復・管理を行うことができます。
独自形式であるRAR形式をはじめ、ZIPやLZHなどの形式にも対応しています。
その利用者数は非常に多く、世界で5億人以上の利用者がいるという話です。

このWinRARで脆弱性が発見され、その内容が公表されました。
CVE-2023-40477です。
CVE-2023-40477はバッファーオーバーフローの問題で、細工された書庫を使うことで、任意のコードを実行させてしまうことができます。
言い方を変えると、WinRARで書庫を開いただけで、任意のコードが実行されるということになります。

この脆弱性は大きく話題になりました。
多くのニュースサイトで話題になり、その脆弱性は広く知られることになりました。
そこに便乗する動きがありました。

• 概念実証コードを公開
  攻撃者はCVE-2023-40477の脆弱性の概念実証コードをGitHubで公開しました。
  CVE-2023-40477が話題になってから、ほんの数日後です。
• 詳細なREADME.md
  README.mdは説明書です。
  GitHubでそのコードの説明として表示される内容となります。
  ここには丁寧にこの概念実証コードがCVE-2023-40477の確認を行うものであることが記述されています。
• 解説ビデオ
  丁寧さは止まりません。
  攻撃者はこの概念実証コードを使って脆弱性の確認を行う様子を動画で公開しました。
  動画の中での出来事はいかにも脆弱性の確認ができているように表現されています。

この概念実証コードは、実にタイムリーに公開されました。
しかし、このコードはCVE-2023-40477の概念実証コードではありませんでした。
オープンソースのCVE-2023-25157の概念実証コードを元にして作成されたマルウェアでした。
攻撃者はCVE-2023-25157の概念実証コードのなかに攻撃コードを埋め込んでいます。

実行されたCVE-2023-25157の概念実証コードだったものは、PowerShellスクリプトをダウンロードします。
そして、PowerShellスクリプトは、別のマルウェアをダウンロードします。
別のマルウェアは、VenomRATの亜種でした。
PowerShellスクリプトはVenomRATの亜種をダウンロードし、スケジュールを作成して永続化を行います。
VenomRATは、名前の示すとおり、リモートアクセストロイです。

人気のソフトウェアの脆弱性の概念実証コードを動かしたと思ったら、マルウェアに感染していた、という話でした。
ちなみに、この偽の概念実証コードのGitHubのコンテンツはもう削除されています。

参考記事（外部リンク）：WinRAR の CVE-2023-40477 脆弱性のエクスプロイトを謳う偽 PoC (概念実証) が見つかる −
PoC 実行で VenomRAT に感染
unit42.paloaltonetworks.jp/fake-cve-2023-40477-poc-hides-venomrat/