Огонь по своим: пентестеры стали жертвой своего собственного инструмента

​Исследователи кибербезопасности стали мишенью поддельного PoC -эксплойта CVE-2023-35829, который устанавливает вредоносное ПО для кражи паролей Linux .

Аналитики Uptycs обнаружили вредоносный PoC (Proof-of-Concept) во время своих обычных проверок, когда системы обнаружения помечали нарушения, такие как неожиданные сетевые подключения, попытки несанкционированного доступа к системе и нетипичные передачи данных.

Было обнаружено 3 репозитория, в которых размещался вредоносный поддельный PoC-эксплойт, 2 из которых были удалены с GitHub, а 1 оставшийся все еще работает.

Вредоносный репозиторий GitHub, распространяющий стилер

Вредоносный PoC-код оказался широко распространен среди членов сообщества исследователей безопасности, поэтому заражения могут существовать на значительном количестве компьютеров.

Сведения о вредоносном PoC

PoC описывается как эксплоит для уязвимости использования после освобождения ( Use-After-Free , UAF ) CVE-2023-35829 (CVSS: 7.0), влияющей на ядро ​​​​Linux до версии 6.3.2. Однако на самом деле PoC является копией старого настоящего эксплойта для другой уязвимости ядра Linux – CVE-2022-34918 (CVSS:7.8).

Сравнение кода двух PoC

Код использует пространства имен – функцию Linux, которая разделяет ресурсы ядра, чтобы создать впечатление, что это корневая оболочка, хотя ее привилегии по-прежнему ограничены в пространстве имен пользователя.

Это создаёт иллюзию того, что эксплойт подлинный и работает должным образом, что дает злоумышленникам больше времени для свободного перемещения по скомпрометированной системе.

Часть кода для создания поддельной оболочки

Далее PoC сохраняется в системе и связывается с C2-сервером злоумышленника, чтобы загрузить и выполнить bash -скрипт Linux с внешнего URL-адреса. Загруженный скрипт похищает ценные данные, в том числе пароли, имя пользователя, имя хоста и содержимое домашнего каталога жертвы. Затем скрипт предоставляет хакеру несанкционированный удаленный доступ к серверу и эксфильтрует украденные данные.

Bash-сценарий маскирует свои операции под процессы уровня ядра, чтобы избежать обнаружения, поскольку системные администраторы склонны доверять им и обычно не проверяют эти записи.

PoC, загруженные из Интернета, следует тестировать в изолированных средах, таких как виртуальные машины, и, если возможно, проверять их код перед выполнением. Отправка двоичных файлов в VirusTotal также является быстрым и простым способом идентификации вредоносного файла.