В декабре 2024 года компания Microsoft выпустила обновления безопасности в рамках "Patch Tuesday", закрыв две уязвимости в протоколе LDAP: CVE-2024-49112 и CVE-2024-49113. Первая позволяла удаленно исполнять произвольный код через специально сформированные LDAP-запросы, а вторая, получившая название LDAPNightmare, могла вызвать отказ в обслуживании LDAP-сервиса. Хотя последняя уязвимость в основном предназначена для DoS-атак, злоумышленники воспользовались интересом к ней, чтобы обманным путем распространять вредоносное ПО.
Схема обмана оказалась простой, но действенной. Злоумышленники создали поддельную репозиторию с «доказательством концепции» (PoC) эксплойта CVE-2024-49113, внося изменения в популярный репозиторий, который стал основой для поддельного. Вместо ожидаемых скриптов на Python в репозиторий был внедрен исполняемый файл
При запуске
После сбора данных начинается фаза кражи. Вредоносный скрипт собирает информацию о компьютере, список запущенных процессов, содержимое каталогов «Загрузки», «Последние», «Документы» и «Рабочий стол», а также информацию о сетевых IP-адресах, сетевых адаптерах и установленных обновлениях. Вся эта собранная информация сжимается в ZIP-архив и отправляется на удаленный FTP-сервер, причем учетные данные для FTP-сервера жёстко прописаны в скрипте.
Для защиты от подобных атак необходимо соблюдать ряд мер предосторожности. Во-первых, загружайте программное обеспечение только из доверенных источников, таких как официальные репозитории. Во-вторых, будьте бдительны и проверяйте контент репозитория, обращая внимание на любые неожиданные изменения. В-третьих, всегда проверяйте источник репозитория, его владельца или организацию, которая его поддерживает. Изучайте историю коммитов, чтобы выявлять аномалии.
Также следует обращать внимание на популярность репозитория. Репозитории с небольшим количеством звезд, форков и участников должны вызывать подозрение. Проверяйте наличие отзывов или обсуждений репозитория, чтобы выявить возможные проблемы. Если репозиторий вызывает сомнения, лучше воздержаться от его использования.
Компания Trend Micro разработала правила и фильтры для защиты от эксплуатации уязвимости CVE-2024-49113. Помимо этого, существуют сервисы Threat Insights, которые предоставляют информацию об угрожающих акторах, их вредоносной деятельности и используемых методах.
В качестве индикаторов компрометации (IOC) стоит обратить внимание на наличие подозрительных скриптов PowerShell в поддиректориях
Таким образом, злоумышленники используют популярность уязвимостей безопасности в своих целях, распространяя вредоносное ПО через поддельные PoC. Это ещё раз подчеркивает важность осторожности при скачивании кода и внимательного отношения ко всем подозрительным признакам.
Изображение носит иллюстративный характер
Схема обмана оказалась простой, но действенной. Злоумышленники создали поддельную репозиторию с «доказательством концепции» (PoC) эксплойта CVE-2024-49113, внося изменения в популярный репозиторий, который стал основой для поддельного. Вместо ожидаемых скриптов на Python в репозиторий был внедрен исполняемый файл
poc.exe, упакованный с помощью UPX. Это файл, по сути, является трояном, запускающим сложную цепочку вредоносных действий. При запуске
poc.exe он размещает в папке %Temp% скрипт PowerShell, который создает запланированное задание. Это задание запускает закодированный скрипт, который скачивает еще один скрипт с Pastebin. Этот последний скрипт, в свою очередь, собирает информацию о компьютере жертвы, включая публичный IP-адрес, который затем загружается на FTP-сервер. Это первый этап утечки данных, который служит основой для дальнейшей кражи более ценной информации. После сбора данных начинается фаза кражи. Вредоносный скрипт собирает информацию о компьютере, список запущенных процессов, содержимое каталогов «Загрузки», «Последние», «Документы» и «Рабочий стол», а также информацию о сетевых IP-адресах, сетевых адаптерах и установленных обновлениях. Вся эта собранная информация сжимается в ZIP-архив и отправляется на удаленный FTP-сервер, причем учетные данные для FTP-сервера жёстко прописаны в скрипте.
Для защиты от подобных атак необходимо соблюдать ряд мер предосторожности. Во-первых, загружайте программное обеспечение только из доверенных источников, таких как официальные репозитории. Во-вторых, будьте бдительны и проверяйте контент репозитория, обращая внимание на любые неожиданные изменения. В-третьих, всегда проверяйте источник репозитория, его владельца или организацию, которая его поддерживает. Изучайте историю коммитов, чтобы выявлять аномалии.
Также следует обращать внимание на популярность репозитория. Репозитории с небольшим количеством звезд, форков и участников должны вызывать подозрение. Проверяйте наличие отзывов или обсуждений репозитория, чтобы выявить возможные проблемы. Если репозиторий вызывает сомнения, лучше воздержаться от его использования.
Компания Trend Micro разработала правила и фильтры для защиты от эксплуатации уязвимости CVE-2024-49113. Помимо этого, существуют сервисы Threat Insights, которые предоставляют информацию об угрожающих акторах, их вредоносной деятельности и используемых методах.
В качестве индикаторов компрометации (IOC) стоит обратить внимание на наличие подозрительных скриптов PowerShell в поддиректориях
%LocalAppData%. А также использовать следующее правило обнаружения: eventSubId: 101 AND objectFilePath: /AppData\\Local\\Temp\\\w+\.tmp\\\w+\.tmp\\\w+\.Indicators. Полный список IOC можно найти по предоставленной ссылке, но к сожалению она в тексте не приведена. Таким образом, злоумышленники используют популярность уязвимостей безопасности в своих целях, распространяя вредоносное ПО через поддельные PoC. Это ещё раз подчеркивает важность осторожности при скачивании кода и внимательного отношения ко всем подозрительным признакам.
