Эксплойт PoC для LDAPNightmare: угроза кибербезопасности
Изображение: www.trendmicro.com
В последние дни в блогах кибербезопасности активно обсуждается поддельный эксплойт Proof of Concept (PoC), направленный на уязвимость LDAPNightmare, особенно на CVE-2024-49113. Эта уязвимость представляет собой угрозу типа «отказ в обслуживании». Используемый в качестве метода распространения вредоносного ПО, этот поддельный PoC уже привлек внимание специалистов в области безопасности.
Уязвимости под угрозой
Кроме CVE-2024-49113, также выделяется другая уязвимость — CVE-2024-49112. Это ошибка удаленного выполнения кода, которая может быть использована с помощью специально созданных запросов LDAP для выполнения произвольного кода в целевой системе.
Выросшие риски и распространение вредоносного ПО
Тактика использования PoC-приманок для распространения вредоносного ПО становится все более распространенной. Это особенно актуально для уязвимостей, которые находятся на пике популярности и затрагивают большое количество потенциальных жертв. Подобные шаблоны поведения вызывают серьезное беспокойство среди специалистов по кибербезопасности.
Рекомендации по защите
Для защиты от таких атак эксперты рекомендуют следующее:
- Загрузку кода только из официальных и надежных репозиториев;
- Осторожное обращение с подозрительным контентом;
- Проверку владельца репозитория;
- Просмотр истории коммитов на наличие любых признаков вредоносной активности;
- Проверку вовлеченности сообщества (stars и forks);
- Поиск отзывов или обсуждений, которые могут вызвать беспокойство.
Анализ угроз от Trend Micro
Более детальная информация об уязвимостях LDAP и мерах защиты доступна в предыдущих записях блога Trend Micro. Компания предлагает аналитические отчеты и информацию об угрозах через платформу Trend Vision One, чтобы помочь клиентам быть в курсе новых хакерских атак и понимать действия хакеров.
Структура вредоносного кода
Особое внимание стоит уделить вредоносному репозиторию, содержащему поддельный эксплойт PoC. Он, похоже, является модифицированной версией оригинала, где файлы Python были заменены исполняемым файлом под названием poc.exe, упакованным в UPX. При выполнении данный файл помещает сценарий PowerShell в папку %Temp%, создавая запланированное задание для выполнения закодированного сценария.
Многоступенчатая атака
Вредоносное программное обеспечение маскируется под эксплойт LDAPNightmare, однако на самом деле это троян, крадущий информацию, известный как TrojanSpy Win32 FAKEPOC THAOGBE. Больше того, удаленный скрипт PowerShell взаимодействует с FTP-серверами по адресам ftp.drivehq.com и ftupload.net/htdocs, а также извлекает содержимое из ссылок Pastebin. Это иллюстрирует многоступенчатый характер атаки, когда вредоносное ПО подключается к внешним серверам для извлечения украденных данных или получения новых инструкций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.
