Злоумышленники охотятся на экспертов по безопасности, используя архив, якобы содержащий эксплойт для уязвимости regreSSHion.
В социальной сети X (ранее известной как Twitter) распространяется архив с вредоносным кодом под видом эксплойта для недавно обнаруженной . По мнению наших экспертов, это попытка атаки на специалистов по кибербезопасности.
Рассказываем, что на самом деле находится в архиве, и как злоумышленники пытаются заманить исследователей в ловушку.
В реальности, он запускает вредоносный файл exploit — зловред, служащий для закрепления в системе и скачивания полезной нагрузки с удаленного сервера. Вредоносный код сохраняется в файле в директории /etc/cron.hourly. А для закрепления в системе он модифицирует файл ls и записывает в него свою копию, повторяющую выполнение вредоносного кода при каждом запуске.
Поэтому мы напоминаем всем ИБ-экспертам и прочим любителям проанализировать подозрительный код не работать со зловредами вне специально подготовленной изолированной среды, из которой недоступна внешняя инфраструктура.
Продукты «Лаборатории Касперского» детектируют элементы этой атаки c вердиктами:
В социальной сети X (ранее известной как Twitter) распространяется архив с вредоносным кодом под видом эксплойта для недавно обнаруженной . По мнению наших экспертов, это попытка атаки на специалистов по кибербезопасности.
Рассказываем, что на самом деле находится в архиве, и как злоумышленники пытаются заманить исследователей в ловушку.
Сопровождающая архив легенда
Предположительно, существует некий сервер, на котором имеется рабочий эксплойт для уязвимости CVE-2024-6387 в OpenSSH. Более того, этот сервер активно применяет этот эксплойт для атак по целому списку IP-адресов. В архиве, предлагаемом любому желающему исследовать эту атаку, якобы находится рабочий эксплойт, список IP-адресов и некая полезная нагрузка.Содержимое вредоносного архива
На самом деле, в архиве имеется некий исходный код, набор вредоносных бинарных файлов и скриптов. Исходный код очень похож на несколько подредактированную версию неработающего доказательства работоспособности этой уязвимости (PoC, Proof of Concept), которое ранее уже встречалось в свободном доступе.В реальности, он запускает вредоносный файл exploit — зловред, служащий для закрепления в системе и скачивания полезной нагрузки с удаленного сервера. Вредоносный код сохраняется в файле в директории /etc/cron.hourly. А для закрепления в системе он модифицирует файл ls и записывает в него свою копию, повторяющую выполнение вредоносного кода при каждом запуске.
Как оставаться в безопасности
По всей видимости, авторы атаки рассчитывают на то, что, работая с заведомо вредоносным кодом, исследователи отключат защитные решения и сфокусируются на анализе обмена данными между зловредом и уязвимым к CVE-2024-6387 сервером. А в это время совершенно другой вредоносный код будет использован для компрометации компьютеров исследователей.Поэтому мы напоминаем всем ИБ-экспертам и прочим любителям проанализировать подозрительный код не работать со зловредами вне специально подготовленной изолированной среды, из которой недоступна внешняя инфраструктура.
Продукты «Лаборатории Касперского» детектируют элементы этой атаки c вердиктами:
- UDS:Trojan-Downloader.Shell.FakeChecker.a
- UDS:Trojan.Python.FakeChecker.a
- HEUR:Trojan.Linux.Agent.gen
- Virus.Linux.Lamer.b
- HEUR:DoS.Linux.Agent.dt
