Pesquisadores de segurança cibernética e atores de ameaças são alvo de um falso exploit de prova de conceito (PoC)
CVE-2023-35829
que instala um malware stealer de senhas Linux.
Os analistas da Uptycs descobriram o PoC mal-intencionado durante suas varreduras de rotina, quando sistemas de detecção sinalizaram irregularidades, como conexões de rede inesperadas, tentativas de acesso não autorizado ao sistema e transferências de dados atípicas.
Três repositórios foram encontrados hospedando o exploit falso do PoC, com dois removidos do GitHub e o restante ainda ativo.
A Uptycs relata que o PoC foi amplamente compartilhado entre os membros da comunidade de pesquisa de segurança, portanto, pode haver infecções em um número significativo de computadores.
O falso PoC alega ser um exploit para
CVE-2023-35829
, uma falha de uso após liberação de alta gravidade que impacta o kernel Linux antes de 6.3.2.
Na realidade, porém, o PoC é uma cópia de um exploit antigo e legítimo para outra vulnerabilidade do kernel Linux,
CVE-2022-34918
.
O código tira vantagem dos namespaces, um recurso do Linux que particiona recursos do kernel, para dar a impressão de que é um shell root, mesmo que seus privilégios ainda sejam limitados dentro do namespace do usuário.
Isso é feito para reforçar a ilusão de que o exploit é genuíno e está funcionando como esperado, dando aos atacantes mais tempo para se mover livremente no sistema comprometido.
Após a execução, o PoC também cria um arquivo 'kworker' e adiciona seu caminho ao arquivo '/etc/bashrc' para persistência.
A seguir, ele contata o servidor C2 do atacante para baixar e executar um script bash Linux de uma URL externa.
O script baixado acessa o arquivo '/etc/passwd' para roubar dados valiosos do sistema, modifica o '~/.ssh/authorized_keys' para conceder ao atacante acesso remoto não autorizado ao servidor e, eventualmente, usa o curl para exfiltrar dados via 'transfer.sh'.
O script rouba dados que incluem o nome de usuário, hostname e o conteúdo do diretório inicial da vítima.
No entanto, como a ameaça agora tem acesso remoto ao servidor, eles podem roubar o que quiserem manualmente.
O script bash disfarça suas operações como processos de nível de kernel para evitar detecção, pois os administradores de sistema tendem a confiar neles e, geralmente, não examinam essas entradas.
Os PoCs baixados da internet devem ser testados em ambientes isolados/caixas de areia como máquinas virtuais e, se possível, ter seu código inspecionado antes da execução.
Enviar binários ao VirusTotal também é uma maneira rápida e fácil de identificar um arquivo malicioso.
Usar falsos PoCs para visar pesquisadores e atores de ameaças com malware não é novidade.
No mês passado, analistas da VulnCheck descobriram uma campanha onde atores de ameaças se passavam por pesquisadores reais de empresas de segurança cibernética confiáveis para espalhar malware disfarçado de exploits zero-day para Chrome, MS Exchange e Discord.
Em Outubro de 2022, pesquisadores universitários publicaram um artigo técnico explicando que até 10.3% de todos os PoCs hospedados no GitHub podem ser malware.
Também se acredita que os hackers norte-coreanos da Lazarus são responsáveis por uma campanha de 2021 que usou as redes sociais para atingir pesquisadores de vulnerabilidades com falsos PoCs que instalaram backdoors.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...