本月初安全企业SafeBreach针对微软12月修补的CVE-2024-49113公布细节及概念验证(PoC)程序代码,此漏洞为高风险层级,涉及LDAP服务,攻击者有机会导致Windows服务器服务中断,有鉴于这项漏洞带来的冲击相当严重,研究人员将这项漏洞命名为“LDAPNightmare”,如今有人假借这项漏洞的名义发动攻击。
安全企业趋势科技提出警告,他们发现有人在GitHub假借提供LDAPNightmare的概念验证程序代码,意图对安全研究人员传播盗取信息软件。根据该公司的调查,这些恶意存储库多半是SafeBreach存储库的分叉(fork),攻击者将原本的Python文件更换为以UPX打包的执行文件poc.exe,意图引诱研究人员下载。
一旦用户下载并执行,计算机就下载PowerShell脚本,而该脚本会创建工作调度,其功能是执行一段内容经过Base64编码处理的脚本。
在工作调度执行并解开脚本,计算机又会从文本文件共享服务Pastebin下载另一个脚本,收集受害计算机的IP地址、系统资讯、处理程串行表、特定文件夹文件内容、网卡,以及已安装更新文件等资讯,打包成ZIP文件发送到FTP服务器,以便攻击者进一步运用。
对此,趋势科技提醒安全研究人员,若要研究概念验证程序代码,应该要从情报最原始披露的来源取得相关数据,而非通过分叉的存储库。这些来路不明的GitHub之所以会藏污纳垢,就是攻击者发现有些安全人员并未仔细检查这类情报来源是否为第一手分享。
