警惕利用漏洞话题在Github上发起的投毒攻击

admin 2022年7月25日17:40:17评论103 views字数 1195阅读3分59秒阅读模式
1

摘要

微步情报局监测发现,近日有攻击者以国内安全产品远程代码执行漏洞为诱饵,在 Github 网站传播带有远控木马的恶意脚本,建议相关企业关注此类攻击手法,并根据附件 IOC 及时排查相关企业/部门内部是否存在相关网络威胁,保护自身安全。

微步在线安全 TDP/TIP 已支持对此次攻击事件的检测,如需协助,请与我们联系:[email protected]

2

事件概要

攻击目标

全行业

攻击时间

2022年7月24日

攻击向量

热点话题

攻击复杂度

最终目的

内网入侵

3

事件详情
2022年7月24日,有匿名用户在 X 情报社区发布消息称发现“红队投毒项目”[1],并提供名为"3**t******gRCE" 的可疑 github 项目。
警惕利用漏洞话题在Github上发起的投毒攻击

核实发现,该项目由名为 FuckRedTeam 的 github 用户于2022年7月24日18时发布[2],号称为国内某安全厂商产品的远程执行漏洞脚本。

警惕利用漏洞话题在Github上发起的投毒攻击

而对相关代码排查发现,该项目会从 python 常用 UserAgent 库中加载名为 “fake_useragant” 模块,而该模块系伪装合法的 “fake_useragent”( 字母e替换为a)。

警惕利用漏洞话题在Github上发起的投毒攻击

通过 Pypi 官方网站查询发现[3],伪装代码 “fake_useragant” 于2022年7月20日上传(目前已被删除,但部分国内下载源已经同步且可下载),上传者昵称为 “Join”,注册时间为2022年7月11日。

警惕利用漏洞话题在Github上发起的投毒攻击警惕利用漏洞话题在Github上发起的投毒攻击警惕利用漏洞话题在Github上发起的投毒攻击

进一步分析发现,该模块包中的 urllib2.py 文件存在可疑代码;

警惕利用漏洞话题在Github上发起的投毒攻击

对其进行解码,连接 i.miaosu.bid/data/f_35461354.png 下载图片进行解码;

警惕利用漏洞话题在Github上发起的投毒攻击

其图片地址: http://i.miaosu.bid/data/f_35461354.png;

警惕利用漏洞话题在Github上发起的投毒攻击

进行多次 AES 解密;

警惕利用漏洞话题在Github上发起的投毒攻击
警惕利用漏洞话题在Github上发起的投毒攻击

警惕利用漏洞话题在Github上发起的投毒攻击

最后通过进行线程执行解密,其解密代码通过 icmp 隧道与 C&C 服务器120.79.87.123 通信以获取下一步 payload。

警惕利用漏洞话题在Github上发起的投毒攻击

其返回数据返回值 data 第一位必须为0x1才进行正式解密并进行下一步操作

警惕利用漏洞话题在Github上发起的投毒攻击
目前 C&C 已失活,未能获取进一步的恶意代码。

处置建议

1、 切勿轻信网络传播所谓的安全检测脚本/工具,防止被黑客利用。

2、 根据威胁情报,排查网络中是否再存失陷情况。

4

参考链接
[1] https://x.threatbook.com/v5/article?threatInfoID=15787

[2] https://github.com/FuckRedTeam

[3] https://pypi.org/search/?q=fake-useragant


公众号内回复“GH”,可获取附录 IOC。


---End---

内容转载与引用



1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”
点击下方,关注我们
第一时间获取最新的威胁情报



原文始发于微信公众号(微步在线研究响应中心):警惕利用漏洞话题在Github上发起的投毒攻击

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月25日17:40:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   警惕利用漏洞话题在Github上发起的投毒攻击http://cn-sec.com/archives/1199023.html

发表评论

匿名网友 填写信息