事件概述
POC代码投毒
-
https://github.com/apkc/CVE-2023-35829-poc
-
https://github.com/ChriSanders22/CVE-2023-35829-poc.git
-
https://github.com/ChriSanders22/CVE-2023-20871-poc
在这些代码中,后门程序均位于./src/aclocal.m4。其执行入口位于makefile里,一旦用户在本机对这些代码进行编译,则机器最终会被植入后门程序kwoker。
Kworker后门拷首先贝自身至家目录并通过.bashrc文件作持久化。而后回连hxxp://cunniloss.accesscam.org/hash.php接收并执行攻击者命令。
而后C2服务器后续将下发wget命令,下载并执行一个bash脚本,其用于收集失陷者信息,添加SSH密钥等,且当C2服务器收到错误的请求时,将拉黑客户端IP,以试图阻止安全人员对其进行分析。
在攻击者植入恶意代码的两天后被披露,但是目前包含恶意代码的仓库地址以及其C2仍然处于活跃状态。
历史活动记录
带后门的CCK模块插件
钓鱼文档
pyTone后门程序
在pyTone后门程序中,除了以常规域名作为C2,还利用动态域名使用dga作为C2域名。
其具备较完善的后门功能,包括命令执行、屏幕截图、文件窃取等功能。
传播范围
总结
近年来,针对安全行业人员的攻击事件屡见不鲜,POC投毒、安全工具投毒等事件频发,奇安信威胁情报中心建议大家对网络上的相关资源工具始终保持警惕,如非必要,切勿在物理机器直接进行测试与使用。同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该样本进行精确检测。
IOCs
cunniloss.accesscam.org
sentsondme.ddns.net
apachehome.chickenkiller.com
seltereff.afraid.org
popescurum.hopto.org
popescu898.mooo.com
IP:
81.4.109.16
MD5:
7847d26ff86284dce7c3caf3de69a129
377b507ed9334fc36c40f3ccb7c1773a
c85c5442f7540b2f9338d9dee6a1a2b4
DGA:
<%Y%m%d>.mooo.com
<%Y%m%d>.ddns.net
<%Y%m%d>.hopto.org
参考链接
For anyone that has ran this PoC, consider your data stolen. This is what eventually runs on your host after a few stages. If you wanna analyse it, don't use a web browser or your IP will get blacklisted. #CVE_2023_35829 #backdoor https://t.co/gafdPfDc0r pic.twitter.com/fUIqclSARX
— Andrei Scutariu (@xnand_) July 4, 2023
点击阅读原文至ALPHA 6.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):针对安全研究人员的POC投毒事件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论