0
0
Pesquisadores descobriram uma campanha de malware direcionada à comunidade infoSec com prova falsa de conceito para fornecer um farol cobalto Strike.
Pesquisadores da empresa de inteligência de ameaças Cyble descobriram uma campanha de malware direcionada à comunidade infoSec. O especialista descobriu um post onde um pesquisador estava compartilhando um código de exploração falso de Prova de Conceito (POC) para uma falha de execução remota de código remoto da Biblioteca RPC (CVE-2022-26809 CVSS 9.8). O malware, disfarçado como um código PoC falso, estava disponível no GitHub.
“Após uma investigação mais aprofundada, descobrimos que é um malware disfarçado de Exploração. Da mesma forma, encontramos uma amostra maliciosa que parece ser um POC falso do CVE-2022-24500.” lê-se no post publicado por Cyble. “Ambas as amostras maliciosas estavam disponíveis no GitHub. Curiosamente, ambos os repositórios pertencem ao mesmo perfil, indicando a possibilidade de que o Threat Actor (TA) possa estar hospedando uma campanha de malware direcionada à Comunidade Infosec.”
Os pesquisadores também notaram que vários TAs também estavam discutindo essas façanhas manchadas no fórum de crimes cibernéticos.
A análise do malware revelou que ele é um binário .Net embalado com o ConfuserEX, um protetor gratuito de código aberto para aplicativos .NET. O código malicioso não inclui as explorações para as vulnerabilidades mencionadas no PoC falso, ele apenas imprime uma mensagem falsa mostrando que está tentando explorar e executa o shellcode.
O malware executa um comando PowerShell usando cmd.exe para entregar a carga real que é um Cobalt-Strike Beacon. Em seguida, os atores de ameaça poderiam usar o farol para baixar cargas adicionais e executar movimentos laterais.
“Normalmente, as pessoas que trabalham na segurança da informação ou nos TAs usam explorações para verificar vulnerabilidades. Portanto, esse malware só pode atingir pessoas dessa comunidade. Portanto, torna-se essencial que os membros da Comunidade Infosec verifiquem a credibilidade das fontes antes de baixar qualquer prova de conceito.” conclui o especialista que também compartilhou recomendações junto com indicadores de compromisso (IoCs).
FONTE: SECURITY AFFAIRS