最近,Cyble 研究人员发现了一篇帖子,其中有人提到了 CVE-2022-26809 的概念证明 (PoC)。经过进一步调查,发现它是伪装成 Exploit 的恶意软件。同时还发现了另一个恶意样本,伪装成 CVE-2022-24500 的 PoC。这些样本都在GitHub上,有趣的是,两个存储库都属于同一个配置文件,这表明攻击者可能正在执行针对 Infosec 社区的恶意攻击活动。
图1和图2显示了在 GitHub 上托管的恶意软件。
图 1:CVE-2022-26809 Exploit
图 2:CVE-2022-24500 Exploit
在过去的 24 小时内,攻击者还在论坛上讨论了这些漏洞。例如,研究人员发现的一篇攻击者讨论 CVE-2022-24500 的帖子,它指向了伪造的 PoC GitHub 存储库,如图 3 所示。
图 3:攻击者在论坛上发帖
技术细节
该恶意软件是包含 ConfuserEX 的 .Net 二进制文件,ConfuserEX是一个免费的、开源的.NET应用程序保护程序。下图显示了文件的详细信息。
图 4:文件详细信息
该恶意软件没有任何针对上述漏洞的利用代码。相反,它会打印一条虚假消息,表明它正在尝试利用并执行 shellcode,如图 5 所示。
图 5:打印虚假信息
恶意软件使用Sleep() 函数在一个小的时间间隔后打印信息,以显得更加合法。图6显示了执行时打印假消息的恶意软件的代码片段。
图 6:解压的代码
打印假消息后,恶意软件使用 cmd.exe 执行隐藏的 PowerShell 命令来安装实际的payload。下图描述了与用于下载 Cobalt-Strike Beacon 的命令和控制服务器的通信。
图 7:通信
Cobalt-StrikeBeacon 可用于其他恶意活动,例如下载额外的payload、横向移动等。这一事实可能表明信息安全社区也是攻击者的目标。
结论
攻击者正在采用各种技术进行攻击。在这种情况下,见证了他们如何使用假PoC 来诱使目标执行恶意软件。通常,从事信息安全工作的人员或黑客会使用漏洞利用来检查漏洞,恶意软件可能仅针对该社区的人。因此,在下载任何PoC之前检查来源的可信度变得至关重要。
MITRE ATT&CK® 技术
|
战术 |
编号 |
名称 |
|
执行 |
T1204 |
用户执行 |
|
防御规避 |
T1140 |
去混淆/解码文件或信息 |
|
命令与控制 |
T1071 |
应用层协议 |
妥协指标 (IOC)
|
指标 |
类型 |
描述 |
|
192.10.22.112 45.197.132.72
|
IP |
C2 |
|
7e0c8be0d03c75bbdc6fd286a796434a 0e2e0d26caa32840a720be7f67b49d45094861cb 6c676773700c1de750c3f8767dbce9106317396d66a004aabbdd29882435de |
MD5 SHA-1 SHA-256
|
恶意二进制
|
|
fdcf0aad080452fa14df221e74cca7d0 7431846d707140783eea466225e872f8757533e3 fa78d114e4dfff90a3e4ba8c0a60f8aa95745c26cc4681340e4fda79234026fd |
MD5 SHA-1 SHA-256
|
恶意二进制
|
原文链接:
https://blog.cyble.com/2022/05/20/malware-campaign-targets-infosec-community-threat-actor-uses-fake-proof-of-concept-to-deliver-cobalt-strike-beacon/
原文始发于微信公众号(维他命安全):针对InfoSec社区的恶意攻击活动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论