Οι χάκερ υποδύονται τους ερευνητές κυβερνοασφάλειας στο Twitter και το GitHub για να δημοσιεύσουν ψεύτικα proof-of-concept (PoC) exploits για ευπάθειες zero-day που μολύνουν συστήματα Windows και Linux με κακόβουλο λογισμικό.
Αυτά τα κακόβουλα exploits προωθούνται από δήθεν ερευνητές μιας ψεύτικης εταιρείας κυβερνοασφάλειας με την ονομασία “High Sierra Cyber Security”, οι οποίοι προωθούν τα GitHub repositories στο Twitter, στοχεύοντας πιθανότατα σε ερευνητές κυβερνοασφάλειας και εταιρείες που ασχολούνται με την έρευνα ευπαθειών.
Τα repositories φαίνονται νόμιμα και οι χρήστες που τα διατηρούν υποδύονται τους πραγματικούς ερευνητές ασφαλείας της Rapid7 και άλλων εταιρειών ασφαλείας, χρησιμοποιώντας ακόμη και τα headshots τους.
Οι ίδιες προσωπικότητες διατηρούν λογαριασμούς στο Twitter για να βοηθήσουν να προσδώσουν νομιμότητα στην έρευνά τους, στα αποθετήρια κώδικα όπως το GitHub και να αντλήσουν θύματα από την πλατφόρμα κοινωνικής δικτύωσης.
Αυτή η καμπάνια ανακαλύφθηκε από την VulnCheck, η οποία αναφέρει ότι βρίσκεται σε εξέλιξη τουλάχιστον από τον Μάιο του 2023, προωθώντας υποτιθέμενα exploits για ελαττώματα zero-day σε δημοφιλές λογισμικό όπως ο Chrome, το Discord, το Signal, το WhatsApp και το Microsoft Exchange.
Σε όλες τις περιπτώσεις, τα κακόβουλα αποθετήρια φιλοξενούν ένα Python script (‘poc.py’) που λειτουργεί ως πρόγραμμα λήψης κακόβουλου λογισμικού για συστήματα Linux και Windows.
Το script κατεβάζει ένα αρχείο ZIP από μια εξωτερική διεύθυνση URL στον υπολογιστή του θύματος ανάλογα με το λειτουργικό του σύστημα, με τους χρήστες Linux να κάνουν λήψη του ‘cveslinux.zip’ και τους χρήστες των Windows να λαμβάνουν το ‘cveswindows.zip.’
Το κακόβουλο λογισμικό αποθηκεύεται στους φακέλους Windows %Temp% ή Linux /home//.local/share, εξάγεται και εκτελείται.
Η VulnCheck αναφέρει ότι το Windows binary που περιέχεται στο ZIP (‘cves_windows.exe’) επισημαίνεται από πάνω από το 60% των μηχανών AV στο VirusTotal. Το Linux binary (‘cves_linux’) είναι πολύ πιο κρυφό, συλλαμβάνεται μόνο από τρεις σαρωτές.
Δεν είναι σαφές τι είδους κακόβουλο λογισμικό εγκαθίσταται, αλλά και τα δύο εκτελέσιμα προγράμματα εγκαθιστούν έναν TOR client και η έκδοση για τα Windows έχει κάποιες ανιχνεύσεις ως Trojan που κλέβει κωδικούς πρόσβασης.
Αν και η επιτυχία αυτής της εκστρατείας δεν είναι σαφής, η VulnCheck σημειώνει ότι οι απειλητικοί φορείς εμφανίζονται επίμονοι- δημιουργούν νέους λογαριασμούς και αποθετήρια όταν οι υπάρχοντες αναφέρονται και αφαιρούνται.
Επί του παρόντος, αυτά τα επτά αποθετήρια GitHub, τα οποία είναι διαθέσιμα τη στιγμή της σύνταξης, θα πρέπει να αποφεύγονται:
- github.com/AKuzmanHSCS/Microsoft-Exchange-RCE
- github.com/MHadzicHSCS/Chrome-0-day
- github.com/GSandersonHSCS/discord-0-day-fix
- github.com/BAdithyaHSCS/Exchange-0-Day
- github.com/RShahHSCS/Discord-0-Day-Exploit
- github.com/DLandonHSCS/Discord-RCE
- github.com/SsankkarHSCS/Chromium-0-Day
Επιπλέον, αυτοί οι λογαριασμοί Twitter ανήκουν σε impersonators και δεν πρέπει να τους εμπιστεύεστε.
- twitter.com/AKuzmanHSCS
- twitter.com/DLandonHSCS
- twitter.com/GSandersonHSCS
- twitter.com/MHadzicHSCS
Οι ερευνητές ασφάλειας και οι λάτρεις της κυβερνοασφάλειας πρέπει να είναι προσεκτικοί όταν κατεβάζουν script από άγνωστα αποθετήρια, καθώς η πλαστοπροσωπία είναι πάντα μια πιθανότητα.
Η βορειοκορεατική κρατικά υποστηριζόμενη ομάδα hacking Lazarus διεξήγαγε παρόμοια εκστρατεία τον Ιανουάριο του 2021, δημιουργώντας ψεύτικες περσόνες ερευνητών ευπάθειας στα μέσα κοινωνικής δικτύωσης για να στοχεύσει ερευνητές με κακόβουλο λογισμικό και zero-days.
Αργότερα το ίδιο έτος, στόχευσαν ερευνητές με trojanized εκδόσεις του λογισμικού αντίστροφης μηχανικής IDA Pro για να εγκαταστήσουν trojan απομακρυσμένης πρόσβασης.
Πιο πρόσφατα, ακαδημαϊκοί έχουν βρει χιλιάδες αποθετήρια στο GitHub που προσφέρουν ψεύτικα proof-of-concept (PoC) exploits για διάφορες ευπάθειες, μερικά από τα οποία μολύνουν τους χρήστες με κακόβουλο λογισμικό, κακόβουλο PowerShell, obfuscated info-stealer downloaders, Cobalt Strike droppers και άλλα.
Στοχεύοντας τις κοινότητες έρευνας ευπαθειών και κυβερνοασφάλειας, οι απειλητικοί φορείς μπορούν να αποκτήσουν πρόσβαση σε έρευνες ευπαθειών που μπορούν να χρησιμοποιηθούν στις δικές τους επιθέσεις.
Ακόμη χειρότερα, σε πολλές περιπτώσεις, το κακόβουλο λογισμικό μπορεί να παρέχει αρχική πρόσβαση στο δίκτυο μιας εταιρείας κυβερνοασφάλειας, οδηγώντας σε περαιτέρω κλοπή δεδομένων και απόπειρες εκβιασμού.
Καθώς οι εταιρείες κυβερνοασφάλειας τείνουν να διαθέτουν ευαίσθητες πληροφορίες για τους πελάτες, όπως αξιολογήσεις ευπαθειών, remote access credentials, ακόμη και μη αποκαλυφθείσες ευπάθειες zero-day, αυτού του είδους η πρόσβαση μπορεί να είναι πολύ πολύτιμη για τους απειλητικούς φορείς.
Επομένως, όταν κατεβάζετε κώδικα από το GitHub, είναι επιτακτική ανάγκη να ελέγχετε όλο τον κώδικα για κακόβουλη συμπεριφορά. Σε αυτή την περίπτωση, η λήψη και η εκτέλεση κακόβουλου λογισμικού είναι σαφώς ορατή στα PoCs, αλλά αυτό μπορεί να μην ισχύει σε όλες τις περιπτώσεις όπου οι απειλητικοί φορείς μπορεί να κρύβουν τον κακόβουλο κώδικά τους.
Πηγή πληροφοριών: bleepingcomputer.com
 exploits...){kind=link}