Угрожающий субъект направил на исследователей безопасности поддельные эксплойты для Windows, которые заражали устройства бэкдором Cobalt Strike.
Тот, кто стоит за этими атаками, воспользовался недавно исправленными уязвимостями удаленного выполнения кода в Windows, отслеживаемыми как CVE-2022-24500 и CVE-2022-26809.
Когда Microsoft исправляет уязвимость, исследователи безопасности обычно анализируют исправления и публикуют на GitHub пробные версии эксплойтов для этой уязвимости.
Эти пробные эксплойты используются исследователями безопасности для проверки собственной защиты и для того, чтобы подтолкнуть администраторов к применению обновлений безопасности.
Однако субъекты угроз обычно используют эти эксплойты для проведения атак или бокового распространения в сети.
Поддельный PoC нацелен на сообщество специалистов по информационной безопасности
На прошлой неделе один из угрожающих субъектов опубликовал на GitHub два пробных эксплойта для уязвимостей Windows CVE-2022-24500 и CVE-2022-26809.
Эти эксплойты были опубликованы в репозиториях для пользователя под именем ‘rkxxz’, которые с тех пор были удалены, а учетная запись удалена.
Как это всегда бывает при публикации PoC, новость быстро распространилась в Twitter, и она даже привлекла внимание угрожающих субъектов, которые написали о ней на хакерских форумах.
Однако вскоре выяснилось, что эти пробные версии эксплойтов были поддельными и устанавливали на устройства людей маячки Cobalt Strike.
Cobalt Strike — это легитимный инструмент пентестирования, который угрожающие субъекты обычно используют для взлома и распространения по организации.
В последующем отчете компании Cyble, специализирующейся на кибербезопасности, аналитики угроз проанализировали PoC и обнаружили, что это было приложение .NET, притворяющееся, что использует IP-адрес, которое на самом деле заражало пользователей бэкдором.
Из деобфусцированного образца PoC, видно, что поддельный PoC запускает сценарий PowerShell, который выполняет сжатый gzip-скрипт PowerShell для внедрения маячка в память.
Это не первый случай, когда субъекты угроз нацеливаются на исследователей уязвимостей и пентестеров.
В январе 2021 года северокорейская хакерская группа Lazarus атаковала исследователей уязвимостей через аккаунты в социальных сетях и уязвимости нулевого дня в браузерах.
В марте 2021 года северокорейские хакеры снова нацелились на сообщество инфозащитников, создав поддельную компанию кибербезопасности под названием SecuriElite (расположенную в Турции).
В ноябре хакеры Lazarus провели еще одну кампанию с использованием троянизированной версии приложения для обратного инжиниринга IDA Pro, которое устанавливало троян NukeSped для удаленного доступа.
Нацеливаясь на сообщество специалистов по информационной безопасности, субъекты угроз не только получают доступ к исследованиям уязвимостей, над которыми может работать жертва, но и потенциально могут получить доступ к сети компании, занимающейся кибербезопасностью.
Поскольку компании, занимающиеся кибербезопасностью, обычно хранят конфиденциальную информацию о клиентах, такую как оценки уязвимостей, учетные данные удаленного доступа или даже нераскрытые уязвимости нулевого дня, такой доступ может быть очень ценным для угрожающего агента.
Последнее обновление 05.01.2023
