Κακόβουλοι παράγοντες παριστάνουν τους ερευνητές ασφαλείας, πουλώντας πλαστά PoC exploits του ProxyNotShell για τρωτά σημεία zero-day του Microsoft Exchange που ανακαλύφθηκαν πρόσφατα.
Δείτε επίσης: Microsoft Exchange zero-day χρησιμοποιείται ενεργά σε επιθέσεις
Την περασμένη εβδομάδα, η βιετναμέζικη εταιρεία κυβερνοασφάλειας GTSC αποκάλυψε ότι ορισμένοι από τους πελάτες της είχαν δεχθεί επίθεση μέσω δύο νέων τρωτών σημείων zero-day στο Microsoft Exchange.
Συνεργαζόμενοι με το Zero Day Initiative της Trend Micro, οι ερευνητές αποκάλυψαν ιδιωτικά τα τρωτά σημεία στη Microsoft, η οποία επιβεβαίωσε ότι τα σφάλματα εκμεταλλεύονταν σε επιθέσεις και ότι εργάζονταν σε ένα επιταχυνόμενο χρονοδιάγραμμα για την κυκλοφορία ενημερώσεων ασφαλείας.
Οι ερευνητές ασφαλείας κρατούν ιδιωτικές τις τεχνικές λεπτομέρειες των τρωτών σημείων και φαίνεται ότι μόνο ένας μικρός αριθμός παραγόντων απειλών τις εκμεταλλεύεται.
Εξαιτίας αυτού, άλλοι ερευνητές και παράγοντες απειλών περιμένουν την πρώτη δημόσια αποκάλυψη των τρωτών σημείων που θα χρησιμοποιήσουν στις δικές τους δραστηριότητες, είτε υπερασπίζονται ένα δίκτυο είτε χακάρουν ένα.
Δείτε ακόμα: Οι servers Microsoft Exchange παραβιάστηκαν μέσω OAuth apps για phishing
Για να εκμεταλλευτούν αυτή την ηρεμία πριν από την καταιγίδα, οι απατεώνες άρχισαν να δημιουργούν αποθετήρια GitHub όπου επιχειρούν να πουλήσουν ψεύτικα proof-of-concept exploits για τις ευπάθειες του Exchange CVE-2022-41040 και CVE-2022-41082.
Ο John Hammond του Huntress Lab παρακολουθούσε αυτούς τους απατεώνες, βρίσκοντας πέντε καταργημένους λογαριασμούς που προσπαθούσαν να πουλήσουν τα ψεύτικα exploits. Αυτοί οι λογαριασμοί είχαν τα ονόματα ‘jml4da‘, ‘TimWallbey‘, ‘Liu Zhao Khin (0daylabin)‘, ‘R007er‘ και ‘spher0x‘.
Ένας άλλος λογαριασμός απάτης που εντοπίστηκε από τον Paulo Pacheco υποδύθηκε τον Kevin Beaumont (γνωστός και ως GossTheDog), ένα γνωστό ερευνητή/επαγγελματία ασφαλείας που τεκμηριώνει τα νέα τρωτά σημεία του Exchange και τους διαθέσιμους μετριασμούς.
Τα ίδια τα αποθετήρια δεν περιέχουν τίποτα σημαντικό, αλλά το README.md περιγράφει ό,τι είναι γνωστό επί του παρόντος για τα νέα τρωτά σημεία, ακολουθούμενο από ένα βήμα για το πώς πωλούν ένα αντίγραφο ενός PoC exploit.
Δείτε επίσης: Microsoft: Windows, Adobe zero-day exploits για ανάπτυξη του Subzero
Τα αρχεία README περιέχουν έναν σύνδεσμο για μια σελίδα SatoshiDisk όπου ο απατεώνας προσπαθεί να πουλήσει το ψεύτικο exploit για 0,01825265 Bitcoin, αξίας περίπου 420,00 $.
Αυτά τα τρωτά σημεία αξίζουν πολύ περισσότερα από 400 $, με το Zerodium να προσφέρει τουλάχιστον 250.000 $ για απομακρυσμένη εκτέλεση κώδικα του Microsoft Exchange.
