Похититель информации маскируется под LDAPNightmare (CVE-2024-49113)

Spyware IOC

В декабре 2024 года Microsoft выпустила патчи для двух критических уязвимостей в протоколе Windows Lightweight Directory Access Protocol (LDAP), оба эксплойта признаны значимыми из-за широкого использования LDAP в Windows.

Описание

Один эксплойт позволяет злоумышленникам выполнять код на целевой системе, а другой может вызывать отказ обслуживания. В этой записи блога описывается поддельный эксплойт для уязвимости отказа обслуживания (CVE-2024-49113), который был создан для привлечения исследователей безопасности и захвата информации. Этот эксплойт использует PowerShell сценарий и создает задание, которое выполняет загруженный сценарий. Затем загружается другой сценарий с Pastebin, который собирает информацию о компьютере, процессах, каталогах, IP-адресах и т. д. Эта информация затем отправляется на внешний FTP-сервер. Атака вызывает опасения из-за использования актуальной уязвимости, которая может затронуть множество жертв.

Indicators of Compromise

URLs

  • ftp://ftp.drivehq.com/wwwhome/
  • ftp://ftpupload.net/htdocs
  • https://pastebin.com/raw/9TxS7Ldc

SHA1

  • d4a35487b95cc2b44395047717358bb2863a5311
  • ef4ba8eef919251f7502c7e66926bb3a5422065b
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий