从游戏作弊到漏洞利用:Webrat通过GitHub传播
作者:Maxim Starodubov
日期:2025年12月23日
2025年初,安全研究人员发现了一个名为Webrat的新恶意软件家族。最初,该木马通过伪装成《Rust》、《反恐精英》和《Roblox》等热门游戏的作弊工具或破解软件来攻击普通用户。到了九月,攻击者决定扩大目标范围:除了游戏玩家和盗版软件用户,他们现在也开始针对信息安全领域缺乏经验的专业人士和学生。
传播途径与恶意样本
十月份,我们发现了至少从九月起就通过GitHub仓库传播Webrat的活动。为了诱骗受害者,攻击者利用了安全公告和行业新闻中经常提及的漏洞。具体来说,他们将恶意软件伪装成针对以下高CVSSv3评分漏洞的利用工具:
| CVE | CVSSv3 |
|---|---|
| CVE-2025-59295 | 8.8 |
| CVE-2025-10294 | 9.8 |
| CVE-2025-59230 | 7.8 |
攻击者利用漏洞利用工具诱骗安全研究人员并非首次。去年,他们就曾类似地利用了当时尚无可用PoC的高危RegreSSHion漏洞。
在此次Webrat活动中,攻击者同时利用那些尚无可用利用工具的漏洞和已有利用工具的漏洞来设置陷阱。为了建立信任,他们精心准备了仓库,在描述中加入了详细的漏洞信息。信息以结构化部分的形式呈现,包括:
- 概述:关于漏洞及其潜在后果的一般信息
- 受漏洞影响的系统规格
- 下载和安装漏洞利用工具的指南
- 使用漏洞利用工具的指南
- 缓解与漏洞相关风险的步骤
仓库内容
在我们调查的所有仓库中,描述都具有相似的结构,这是AI生成的漏洞报告的典型特征,并且提供的风险缓解建议几乎相同,仅在措辞上有细微差别。这强烈表明文本是机器生成的。
“下载与安装”部分的“Download Exploit ZIP”链接指向同一仓库中托管的受密码保护的压缩包。密码隐藏在压缩包内一个文件的名称中。
从仓库下载的压缩包包含四个文件:
-
1 pass – 8511:一个空文件,其名称包含压缩包的密码。
-
2 payload.dll:一个诱饵文件,是一个损坏的PE文件。它不包含有用信息,也不执行任何操作,仅用于分散对主要恶意文件的注意力。
- 将其权限提升至管理员级别(T1134.002)。
- 禁用Windows Defender(T1562.001)以避免检测。
- 从硬编码的URL(在我们的示例中是
ezc5510min.temp[.]swtest[.]ru)获取Webrat家族的样本并执行(T1608.001)。
-
start_exp.bat:一个包含单条命令
start rasmanesc.exe的文件,进一步增加了用户执行主要恶意文件的可能性。
rasmanesc.exe的执行流程与功能
Webrat是一个后门程序,允许攻击者控制受感染系统。此外,它还可以窃取加密货币钱包、Telegram、Discord和Steam账户的数据,同时执行间谍软件功能,如屏幕录制、通过网络摄像头和麦克风进行监控以及键盘记录。在此活动中发现的Webrat版本与先前记录的版本没有区别。
活动目标
此前,Webrat与游戏作弊工具、软件破解补丁和合法应用程序的补丁一起传播。然而,在此次活动中,该木马伪装成漏洞利用工具和PoC。这表明威胁行为者试图感染信息安全专家和其他对此主题感兴趣的用户。需要指出的是,任何称职的安全专业人员都会在受控的隔离环境中分析漏洞利用工具和其他恶意软件,该环境无法访问敏感数据、物理网络摄像头或麦克风。此外,经验丰富的研究人员会很容易识别出Webrat,因为它已有详细记录,并且当前版本与之前的版本并无不同。因此,我们认为诱饵是针对学生和经验不足的安全专业人士的。
结论
Webrat背后的威胁行为者现在不仅将后门伪装成游戏作弊工具和破解软件,还伪装成漏洞利用工具和PoC。这表明他们针对的是经常依赖开源资源来查找和分析与新漏洞相关代码的研究人员。
然而,Webrat本身与过去的攻击活动相比并未发生显著变化。这些攻击显然针对那些会直接在机器上运行“漏洞利用工具”的用户——绕过了基本的安全协议。这提醒我们,网络安全专业人员,特别是缺乏经验的研究人员和学生,在处理漏洞利用工具和任何潜在恶意文件时必须保持警惕。为了防止对包含敏感信息的工作和个人设备造成潜在损害,我们建议在虚拟机或沙箱等隔离环境中分析这些漏洞利用工具和文件。
我们还建议在处理来自开放源代码的代码时保持普遍谨慎,始终使用可靠的安全解决方案,并且在没有正当理由的情况下永远不要将软件添加到排除项中。
卡巴斯基解决方案通过以下检测结果有效检测到此威胁:
- HEUR:Trojan.Python.Agent.gen
- HEUR:Trojan-PSW.Win64.Agent.gen
- HEUR:Trojan-Banker.Win32.Agent.gen
- HEUR:Trojan-PSW.Win32.Coins.gen
- HEUR:Trojan-Downloader.Win32.Agent.gen
- PDM:Trojan.Win32.Generic
威胁指标 (IOCs)
恶意GitHub仓库
- https[:]//github[.]com/RedFoxNxploits/CVE-2025-10294-Poc
- https[:]//github[.]com/FixingPhantom/CVE-2025-10294
- https[:]//github[.]com/h4xnz/CVE-2025-10294-POC
- https[:]//github[.]com/usjnx72726w/CVE-2025-59295/tree/main
- https[:]//github[.]com/stalker110119/CVE-2025-59230/tree/main
- https[:]//github[.]com/moegameka/CVE-2025-59230
- https[:]//github[.]com/DebugFrag/CVE-2025-12596-Exploit
- https[:]//github[.]com/themaxlpalfaboy/CVE-2025-54897-LAB
- https[:]//github[.]com/DExplo1ted/CVE-2025-54106-POC
- https[:]//github[.]com/h4xnz/CVE-2025-55234-POC
- https[:]//github[.]com/Hazelooks/CVE-2025-11499-Exploit
- https[:]//github[.]com/usjnx72726w/CVE-2025-11499-LAB
- https[:]//github[.]com/modhopmarrow1973/CVE-2025-11833-LAB
- https[:]//github[.]com/rootreapers/CVE-2025-11499
- https[:]//github[.]com/lagerhaker539/CVE-2025-12595-POC
Webrat C2服务器
- http[:]//ezc5510min[.]temp[.]swtest[.]ru
- http[:]//shopsleta[.]ru
MD5哈希值
- 28a741e9fcd57bd607255d3a4690c82f
- a13c3d863e8e2bd7596bac5d41581f6a
- 61b1fc6ab327e6d3ff5fd3e82b430315