В нормах кибербезопасности появился обманчивый поворот - концепт (proof of concept, PoC), который вместо того, чтобы продемонстрировать уязвимость, незаметно содержит скрытый бэкдор. Находка, недавно обнаруженная командой исследователей угроз Uptycs, особенно актуальна для сообщества исследователей безопасности.
Исследователи безопасности, как их основные пользователи, полагаются на PoC для понимания потенциальных уязвимостей путем безобидного тестирования. В данном случае PoC - это волк в овечьей шкуре, скрывающий злой умысел под видом безобидного инструмента обучения. Скрытый бэкдор представляет собой незаметную и постоянную угрозу. Работая как загрузчик, он бесшумно загружает и исполняет Linux-скрипт bash, маскируя свои действия под процесс уровня ядра.
Его методология сохранения довольно хитрая. Используемый для сборки исполняемых файлов из файлов исходного кода, он с помощью команды make создает файл kworker и добавляет путь к нему в файл bashrc, что позволяет вредоносной программе постоянно работать в системе жертвы.
Бэкдор обладает широкими возможностями по краже данных. Он может передавать широкий спектр данных - от имени хоста и имени пользователя до исчерпывающего списка содержимого домашнего каталога. Кроме того, злоумышленник может получить полный доступ к целевой системе, добавив свой ssh-ключ в файл authorized_keys.
Несмотря на удаление с GitHub, этот вредоносный PoC получил широкое распространение, достигнув значительной активности еще до того, как его гнусная сущность была раскрыта.
Вредоносные репозитории
https://github.com/ChriSanders22/CVE-2023-35829-poc/
https://github.com/ChriSanders22/CVE-2023-20871-poc/
https://github.com/apkc/CVE-2023-35829-poc
Indicators of Compromise
IPv4
- 81.4.109.16
URLs
- http://cunniloss.accesscam.org
MD5
- 7847d26ff86284dce7c3caf3de69a129
SHA1
- a21aa3937aed80393192ead9bb5597f5764fd138
SHA256
- caa69b10b0bfca561dec90cbd1132b6dcb2c8a44d76a272a0b70b5c64776ff6c
