トレンドマイクロによると、脅威アクターが重大なMicrosoftの脆弱性に対する偽の概念実証(PoC)エクスプロイトを作成し、セキュリティ研究者を誘い込んで情報窃取マルウェアをダウンロードして実行させるよう設計していたという。
この偽PoCは、MicrosoftのWindows Lightweight Directory Access Protocol(LDAP)における重大な脆弱性に関連しており、その修正は同社の2024年12月のPatch Tuesdayで公開された。
CVE-2024-49113はサービス拒否(DoS)の脆弱性で、LDAPサービスをクラッシュさせてサービス停止を引き起こす可能性がある。
トレンドマイクロは、攻撃者が偽PoCを含む悪意あるリポジトリを用意し、これを実行すると機密性の高いコンピュータおよびネットワーク情報が流出することを報告した。
流出する情報には、研究者のコンピュータ情報、プロセス一覧、ディレクトリ一覧、ネットワークIP、ネットワークアダプタ、インストール済み更新プログラムなどが含まれる。
PoCエクスプロイトは、セキュリティ研究コミュニティでセキュリティ上の弱点やソフトウェアに対する潜在的な脅威を特定するために用いられ、脅威に対処するための対応を可能にする。
トレンドマイクロは「PoCを餌にしてマルウェアを配布するという手口自体は新しいものではないが、より多くの被害者に影響し得る注目度の高い問題に便乗している点で、この攻撃は依然として重大な懸念をもたらす」と記した。
PoCの誘導が機能する仕組み
同社によれば、PoCを含む悪意あるリポジトリは、元の作成者のリポジトリをフォークしたもののように見えるという。
元のPythonファイルは、UPXでパックされた実行ファイルpoc.exeに置き換えられていた。ユーザーがこのファイルを実行すると、PowerShellスクリプトが%Temp%フォルダにドロップされて実行される。これによりスケジュール済みジョブが作成され、さらにエンコードされたスクリプトが実行される。
デコード後、そのスクリプトはPastebinから別のスクリプトをダウンロードし、被害者マシンのパブリックIPアドレスを収集して、ファイル転送プロトコルを用いてアップロードする。
その後、コンピュータおよびネットワークのデータが収集され、ZIPファイルで圧縮されたうえで、ハードコードされた認証情報を使用して外部FTPサーバーへアップロードされる。
セキュリティ研究者に警戒を呼びかけ
トレンドマイクロは、セキュリティ研究者に対し偽PoCの誘導に警戒するよう注意喚起し、この手口の被害に遭わないために以下のベストプラクティスを推奨した。
- コード、ライブラリ、依存関係は常に公式かつ信頼できるリポジトリからダウンロードする
- 本来ホストしているはずのツールやアプリケーションに不釣り合いに見える不審な内容を含むリポジトリには注意する
- 可能であれば、リポジトリ所有者または組織の身元を確認する
- リポジトリのコミット履歴と最近の変更を確認し、異常や悪意ある活動の兆候がないか調べる
- スター数、フォーク数、コントリビューターが非常に少ないリポジトリには注意する。特に、広く利用されていると主張している場合はなおさらである
- リポジトリに関するレビュー、Issue、議論を探し、潜在的な危険信号を特定する
翻訳元: https://www.infosecurity-magazine.com/news/fake-poc-exploit-researchers/
