Осторожно: поддельный исследователь безопасности продвигает вредоносное ПО, замаскированное под PoC нулевого дня
15 июня 2023 г.Исследователи кибербезопасности обнаружили несколько учетных записей на GitHub и платформах социальных сетей, утверждающих, что они распространяют экспериментальные эксплойты (PoC) для ряда уязвимостей нулевого дня, предположительно обнаруженных в популярном программном обеспечении. Однако более тщательная проверка показала, что все учетные записи были фальшивыми, а PoC были не чем иным, как скрытыми вредоносное ПО.
Эту новость сообщили исследователи кибербезопасности из VulnCheck, которые заявили, что неназванные злоумышленники создали сеть учетные записи на GitHub и Twitter, принадлежащие поддельным исследователям кибербезопасности. В этих учетных записях использовались фотографии профилей, принадлежащие настоящим экспертам по безопасности, что навело VulnCheck на мысль, что тот, кто стоит за атакой, приложил немало усилий, чтобы завоевать доверие.
В этих учетных записях фальшивые эксперты делились экспериментальными эксплойтами для предполагаемых уязвимостей нулевого дня, обнаруженных в популярном программном обеспечении, таком как Signal, Discord, Google Chrome или Microsoft Exchange Server.
«Люди, создающие эти репозитории, приложили значительные усилия, чтобы заставить их выглядеть законными, создав сеть учетных записей и профилей в Twitter, притворяясь частью несуществующей компании под названием High Sierra Cyber Security», — отмечает VulnCheck.
Преступники будут использовать учетную запись для распространения скрипта Python, который загружает вредоносный двоичный файл и выполняет его на цели конечная точка. Сообщается, что вредоносное ПО работало как на Windows, так и на Linux.
На момент публикации все вредоносные репозитории GitHub были удалены, но на всякий случай вот список:
- github.com/AKuzmanHSCS/Microsoft-Exchange-RCE
- github.com/BAdithyaHSCS/Exchange-0-Day
- github.com/DLandonHSCS/Discord- RCE
- github.com/GSandersonHSCS/discord-0-day-fix
- github.com/MHadzicHSCS/Chrome-0-day
- github.com/ RSahHSCS/Discord-0-Day-Exploit
- github.com/SsankkarHSCS/Chromium-0-Day
С другой стороны, эти учетные записи Twitter еще предстоит удалить:
- twitter.com/AKuzmanHSCS
- twitter.com/DLandonHSCS
- twitter.com/GSandersonHSCS
- twitter.com/MHadzicHSCS
- Познакомьтесь с лучшими брандмауэрами прямо сейчас
Исследователи намекают, что, учитывая количество усилий, затраченных на кампанию, конечный результат не имеет особого смысла, потому что доставляемое вредоносное ПО было «очень очевидным», как они сказали. «Неясно, добились ли они успеха, но, учитывая, что они продолжают использовать этот путь атак, похоже, они верят, что добьются успеха».
Анализ: почему это важно?
Это очень сложная атака на цепочку поставок, последствия которой могли быть болезненными. GitHub, возможно, является крупнейшим в мире репозиторием открытого исходного кода, и продукты, найденные там, представляют собой строительные блоки программного обеспечения, используемые бесчисленным количеством организаций при создании своих решений и инструментов. Если злоумышленнику удастся скомпрометировать существующий репозиторий или удастся проникнуть через вредоносный код, он может просочиться в многочисленные программы, теоретически скомпрометировав тысячи конечных точек. В зависимости от типа вредоносного ПО, распространяемого таким образом, злоумышленники могут получить доступ к конфиденциальным данным, могут участвовать в краже личных данных и атаках программ-вымогателей, а также в мошенничестве с использованием электронных средств связи.
Популярность GitHub сделала его одной из крупнейших целей для атак на цепочки поставок. Часто злоумышленники прибегают к «опечатке» — форме кибератаки, при которой они создают вредоносный пакет с именем, почти идентичным существующему. Таким образом, перегруженный работой или отвлеченный разработчик может использовать неправильный и поставить под угрозу свои системы, а также системы своих клиентов / клиентов.
Атаки на цепочку поставок распространены и очень разрушительны. Одним из лучших примеров огромного потенциала атак на цепочку поставок является атака SolarWinds, которая произошла в конце 2020 года. Тогда обновление одного из продуктов SolarWinds было заражено вредоносным ПО, которое затем было передано пользователям, некоторые из в которую вошли известные компании и государственные учреждения.
Было установлено, что этот взлом, возложенный на спонсируемых государством российских хакеров, затронул девять федеральных агентств, а также множество компаний частного сектора. Analysis-Discovers-extensive-attack-infrastructure" target="_blank">показано.
Что говорят об этом другие?
В своем описании Bleeping Computer говорит, что пока неизвестно, что на самом деле делает распространяемое вредоносное ПО. В публикации подчеркивается важность осторожности при загрузке скриптов, особенно из неизвестных репозиториев, поскольку «всегда возможно олицетворение». Кроме того, BleepingComputer напоминает своим читателям о многочисленных громких атаках на цепочки поставок, которые произошли в прошлом, таких как кампания в январе 2021 года, проведенная спонсируемыми северокорейским государством злоумышленниками Lazarus.
В то время группа создала в социальных сетях поддельные личности исследователей уязвимостей, чтобы атаковать исследователей вредоносными программами. Позже в том же году они также пытались распространять таким образом троянскую версию программного обеспечения для обратного проектирования IDA Pro.
CSO Online, с другой стороны, назвал это «необычной» кампанией атаки, нацеленной в основном на исследователей безопасности. В нем также говорится, что это, скорее всего, работа субъекта продвинутой постоянной угрозы (APT), который хочет получить конфиденциальную информацию, обычно находящуюся на конечных точках, принадлежащих исследователям кибербезопасности. В нем также добавляется, что опытные исследователи безопасности «обычно принимают меры предосторожности при работе с потенциально вредоносным кодом», предполагая, что нацеливание на исследователей путем предложения поддельных PoC может быть не самой блестящей из идей. «Если они тестируют экспериментальный эксплойт, это, скорее всего, произойдет в тестовой системе внутри виртуальной машины, которая хорошо отслеживается, а затем стирается», — заключили они.
Через: Новости хакеров
Оригинал