Атака на исследователей: псевдоэксплойт для regreSSHion

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.008
Репутация
11.595
Реакции
61.852
RUB
50
Злоумышленники охотятся на экспертов по безопасности, используя архив, якобы содержащий эксплойт для уязвимости regreSSHion.

В социальной сети X (ранее известной как Twitter) распространяется архив с вредоносным кодом под видом эксплойта для недавно обнаруженной . По мнению наших экспертов, это попытка атаки на специалистов по кибербезопасности.

Рассказываем, что на самом деле находится в архиве, и как злоумышленники пытаются заманить исследователей в ловушку.

Псевдоэксплойт CVE-2024-6387 aka regreSSHion

Сопровождающая архив легенда

Предположительно, существует некий сервер, на котором имеется рабочий эксплойт для уязвимости CVE-2024-6387 в OpenSSH. Более того, этот сервер активно применяет этот эксплойт для атак по целому списку IP-адресов. В архиве, предлагаемом любому желающему исследовать эту атаку, якобы находится рабочий эксплойт, список IP-адресов и некая полезная нагрузка.

Содержимое вредоносного архива

На самом деле, в архиве имеется некий исходный код, набор вредоносных бинарных файлов и скриптов. Исходный код очень похож на несколько подредактированную версию неработающего доказательства работоспособности этой уязвимости (PoC, Proof of Concept), которое ранее уже встречалось в свободном доступе.

Один из скриптов, написанный на Python, имитирует эксплуатацию уязвимости на серверах, расположенных по IP-адресам из имеющегося списка.

В реальности, он запускает вредоносный файл exploit — зловред, служащий для закрепления в системе и скачивания полезной нагрузки с удаленного сервера. Вредоносный код сохраняется в файле в директории /etc/cron.hourly. А для закрепления в системе он модифицирует файл ls и записывает в него свою копию, повторяющую выполнение вредоносного кода при каждом запуске.

Как оставаться в безопасности

По всей видимости, авторы атаки рассчитывают на то, что, работая с заведомо вредоносным кодом, исследователи отключат защитные решения и сфокусируются на анализе обмена данными между зловредом и уязвимым к CVE-2024-6387 сервером. А в это время совершенно другой вредоносный код будет использован для компрометации компьютеров исследователей.

Поэтому мы напоминаем всем ИБ-экспертам и прочим любителям проанализировать подозрительный код не работать со зловредами вне специально подготовленной изолированной среды, из которой недоступна внешняя инфраструктура.

Продукты «Лаборатории Касперского» детектируют элементы этой атаки c вердиктами:
  • UDS:Trojan-Downloader.Shell.FakeChecker.a
  • UDS:Trojan.Python.FakeChecker.a
  • HEUR:Trojan.Linux.Agent.gen
  • Virus.Linux.Lamer.b
  • HEUR:DoS.Linux.Agent.dt
Что же касается уязвимости regreSSHion, то, как мы и писали раньше, ее практическая эксплуатация сопряжена с большими трудностями.



 
  • Теги
    regresshion вредоносный архив псевдоэксплойт эксплойт
  • Сверху Снизу