Исследователи Cyble наткнулись на сообщение, в котором один из исследователей упоминал о поддельном Proof of Concept (POC) CVE-2022-26809. После дальнейшего расследования Cyble обнаружили, что это вредоносное ПО, замаскированное под эксплойт. Аналогичным образом Cyble обнаружили вредоносный образец, который оказался поддельным POC для CVE-2022-24500. Оба вредоносных образца были доступны на GitHub. Интересно, что оба репозитория принадлежат одному и тому же профилю, что указывает на возможность того, что Threat Actor (TA) может быть организатором вредоносной кампании, направленной на сообщество Infosec.
Cobalt-Strike Beacon
TA использовали эту уникальную технику, чтобы заманить людей на выполнение вредоносной программы. За последние 24 часа TA также обсуждали эти эксплойты на киберпреступном форуме. Например, мы обнаружили сообщение, в котором TA обсуждали CVE-2022-24500, указывая на поддельный POC-репозиторий GitHub.
Вредоносная программа представляет собой двоичный файл .Net, упакованный ConfuserEX, бесплатным защитником с открытым исходным кодом для приложений .NET.
Вредоносная программа не содержит кода эксплойта, направленного на вышеуказанные уязвимости. Вместо этого она печатает поддельное сообщение, показывающее, что она пытается использовать уязвимость, и выполняет шеллкод.
Вредоносная программа использует функцию Sleep() для печати сообщений через небольшой промежуток времени, чтобы казаться более легитимной.
После печати фальшивого сообщения вредоносная программа выполняет скрытую команду PowerShell с помощью cmd.exe, чтобы доставить реальную полезную нагрузку. На рисунке ниже показано сетевое взаимодействие с командно-контрольным сервером для загрузки Cobalt-Strike Beacon.
Cobalt-Strike Beacon может быть использован для других вредоносных действий, таких как загрузка дополнительной полезной нагрузки, боковое перемещение и т.д. Этот факт, возможно, указывает на то, что сообщество специалистов по информационной безопасности также является активной целью злоумышленников.
ТА применяют различные техники для осуществления атак. В данном случае Cyble наблюдали, как TA использовали поддельные POC, чтобы заманить жертв и заставить их выполнить вредоносное ПО. Обычно люди, работающие в сфере информационной безопасности, или ТА используют эксплойты для проверки уязвимостей. Следовательно, эта вредоносная программа может быть нацелена только на людей из этого сообщества. Поэтому членам сообщества Infosec важно проверять достоверность источников, прежде чем загружать какие-либо доказательства концепции.
Indicators of Compromise
IPv4
- 192.10.22.112
- 45.197.132.72
MD5
- 7e0c8be0d03c75bbdc6fd286a796434a
- fdcf0aad080452fa14df221e74cca7d0
SHA1
- 0e2e0d26caa32840a720be7f67b49d45094861cb
- 7431846d707140783eea466225e872f8757533e3
SHA256
- 6c676773700c1de750c3f8767dbce9106317396d66a004aabbdd29882435d5e0
- fa78d114e4dfff90a3e4ba8c0a60f8aa95745c26cc4681340e4fda79234026fd