文章转载自看雪学苑,原文地址:黑客团伙通过虚假PoC诱骗网络安全研究人员
漏洞情报公司VulnCheck最近发现,在GitHub和Twitter上有黑客团伙假冒网络安全研究人员发布虚假的PoC漏洞利用,借此针对Windows和Linux设备植入恶意软件。
在个人资料页面,这些人自称是“High Sierra Cyber Security”网络安全公司的研究人员,为增加可信度,甚至还盗用了Rapid7等安全公司的真实安全研究人员的头像。他们在Twitter上宣传其看似正规的GitHub代码库,潜在攻击目标很可能是参与漏洞研究的网络安全研究人员及公司。
6月14日,VulnCheck漏洞情报公司撰写了一篇博文阐述此事,他们报告称这个活动自2023年5月以来一直在进行,该团伙推广针对Chrome、Discord、Signal、WhatsApp和Microsoft Exchange等流行软件的0day漏洞利用。但所有这些恶意代码库都包含一个名为“poc.py”的Python脚本(包含用于下载并执行恶意二进制文件的代码),将根据受害者的主机操作系统下载不同的有效负载。
该脚本会根据受害者的操作系统从外部URL下载一个ZIP文件到受害者的计算机上,Linux用户是“cveslinux.zip”,Windows用户则是“cveswindows.zip”。恶意软件会被保存到Windows的%Temp%目录或Linux的/home/<username>/.local/share文件夹中,然后被解压并执行。
VulnCheck报告称,该ZIP文件中的Windows可执行文件('cves_windows.exe')在VirusTotal上被超过60%的杀毒引擎标记,Linux可执行文件('cves_linux')则要隐蔽得多。尽管每次发现新的类似活动VulnCheck都在第一时间联系平台进行删除,但VulnCheck指出,这些黑客团伙似乎很有毅力,在现有账户和代码库被举报并删除后,他们总会创建新的账户和代码库。
VulnCheck针对此类事件提醒网络安全研究人员及爱好者,在从未知代码库下载内容时需要注意仔细审查代码。通过针对漏洞研究和网络安全社区,恶意软件可能会为攻击者提供网络安全公司的网络初始访问权限,导致进一步的数据窃取和勒索攻击。由于网络安全公司往往拥有关于客户的敏感信息,如漏洞评估、远程访问凭据甚至未公开的零日漏洞,对于不法分子来说是非常有价值的攻击目标。
推 荐 阅 读
文章引用微信公众号"潇湘信安",如有侵权,请联系管理员删除!