fbpx

Hamis LDAPNightmare exploit a GitHubon – adatlopó malware terjedése

Egy megtévesztő, a CVE-2024-49113 (más néven „LDAPNightmare”) sebezhetőségre készült bizonyítási célú (PoC) exploit a GitHubon adatlopó malware-rel fertőzi meg a felhasználókat, amely érzékeny adatokat továbbít egy külső FTP szerverre.

Ez a taktika nem új keletű, mivel több dokumentált eset is volt már, amikor rosszindulatú eszközöket PoC exploitként álcáztak a GitHubon.

A Trend Micro által felfedezett eset azonban rámutat arra, hogy a fenyegetést jelentő szereplők továbbra is alkalmazzák ezt a módszert, hogy gyanútlan felhasználókat vezessenek félre és fertőzzenek meg malware-rel.

Megtévesztő exploit

A Trend Micro szerint a rosszindulatú GitHub-repozitórium egy olyan projektet tartalmaz, amely látszólag a SafeBreach Labs legitim PoC-jának forkja a CVE-2024-49113 sebezhetőséghez, amelyet 2025. január 1-jén publikáltak.

Ez a hiba a Windows Könnyűsúlyú Directory Access Protocol (LDAP) egyik sebezhetősége, amelyet a Microsoft a 2024. decemberi Patch Tuesday keretében javított. A másik kritikus távoli kódfuttatási (RCE) probléma a CVE-2024-49112 néven ismert.

A SafeBreach kezdeti blogbejegyzése tévesen a CVE-2024-49112-re hivatkozott, míg a PoC valójában a CVE-2024-49113-ra vonatkozott, amely alacsonyabb súlyosságú szolgáltatásmegtagadási (DoS) sebezhetőség.

Bár a hibát később kijavították, ez fokozott érdeklődést váltott ki az LDAPNightmare iránt, amit valószínűleg a fenyegetést jelentő szereplők is ki akartak használni.

A támadás részletei

A hamis PoC-t letöltő felhasználók egy UPX-csomagolt „poc.exe” fájlt kapnak, amely futtatáskor egy PowerShell szkriptet helyez el az áldozat %Temp% mappájában.

A szkript ütemezett feladatot hoz létre a megfertőzött rendszeren, amely egy kódolt szkriptet futtat, majd egy harmadik szkriptet tölt le a Pastebinről.

Ez az utolsó payload begyűjti a számítógép adatait, folyamatlistákat, könyvtárlistákat, IP-címet, hálózati adapter-információkat és telepített frissítéseket, amelyeket ZIP archívumba csomagolva egy külső FTP szerverre tölt fel hardcoded hitelesítő adatokkal.

Óvintézkedések GitHub felhasználók számára

A GitHubon nyilvános exploitokat kereső felhasználóknak fokozott óvatosságot kell tanúsítaniuk, és lehetőség szerint csak jó hírnevű kiberbiztonsági cégek és kutatók munkáiban bízzanak meg.

A fenyegetők korábban már próbálták ismert biztonsági kutatók személyazonosságát utánozni, így a repozitórium hitelességének ellenőrzése is kulcsfontosságú.

Ha lehetséges, vizsgálja meg a kódot futtatás előtt, töltse fel a bináris fájlokat a VirusTotal-ra, és kerülje el a gyanús, obfuszkált tartalmakat.

Az oldal tartalma nem másolható!