古河大佬发现CVE-2024-49113 被黑客利用,发布恶意 PoC(好害怕发布带毒 poc 啊)

admin 2025年1月12日21:17:33评论31 views字数 1433阅读4分46秒阅读模式
古河大佬发现CVE-2024-49113 被黑客利用,发布恶意 PoC(好害怕发布带毒 poc 啊)

GitHub 上针对 CVE-2024-49113(又名“LDAPNightmare”)的欺骗性概念验证 (PoC) 漏洞利用信息窃取恶意软件感染用户,该恶意软件会将敏感数据泄露到外部 FTP 服务器。

这种策略并不新颖,因为在 GitHub 上已经有多起以 PoC 漏洞为伪装的恶意工具案例。

然而,趋势科技发现的这起案例凸显出,威胁行为者继续使用这种策略来诱骗毫无戒心的用户感染恶意软件。

古河大佬发现CVE-2024-49113 被黑客利用,发布恶意 PoC(好害怕发布带毒 poc 啊)
GitHub 上的恶意存储库 (账号现已删除)

欺骗性利用

Trend Micro 报告称,恶意 GitHub 存储库包含一个项目,该项目似乎是从 SafeBreach Labs于 2025 年 1 月 1 日发布的 CVE-2024-49113合法 PoC分叉而来。

该漏洞是影响 Windows 轻量级目录访问协议 (LDAP) 的两个漏洞之一,微软已在2024 年 12 月的补丁星期二修复了该漏洞,另一个漏洞是严重的远程代码执行 (RCE) 问题,其编号为 CVE-2024-49112。

SafeBreach 最初关于 PoC的博客文章错误地提到了 CVE-2024-49112,而他们的 PoC 针对的是 CVE-2024-49113,这是一个严重程度较低的拒绝服务漏洞。

这个错误即使后来得到了纠正,也引起了人们对 LDAPNightmare 及其攻击潜力的更大兴趣和关注,这可能正是威胁行为者试图利用的。

从恶意存储库下载 PoC 的用户将获得一个 UPX 打包的可执行文件“poc.exe”,该文件在执行后会将 PowerShell 脚本放入受害者的 %Temp% 文件夹中。

该脚本在受感染的系统上创建一个计划作业,该作业执行一个编码脚本,该脚本从 Pastebin 获取第三个脚本。

此最终有效载荷收集计算机信息、进程列表、目录列表、IP 地址和网络适配器信息以及已安装的更新,并使用硬编码凭据将它们以 ZIP 存档形式上传到外部 FTP 服务器。

古河大佬发现CVE-2024-49113 被黑客利用,发布恶意 PoC(好害怕发布带毒 poc 啊)
从受感染系统窃取数据

您可以在结尾找到此次攻击的危害指标列表。

GitHub 用户在寻找公开漏洞用于研究或测试时需要谨慎,最好只信任信誉良好的网络安全公司和研究人员。

威胁行为者过去曾试图冒充知名的安全研究人员,因此验证存储库的真实性也至关重要。

如果可能的话,请在系统上执行代码之前检查代码,将二进制文件上传到 VirusTotal,并跳过任何看起来模糊的内容。

  • 原文:https://www.bleepingcomputer.com/news/security/fake-ldapnightmware-exploit-on-github-spreads-infostealer-malware/

  • 趋势科技详细分析:https://www.trendmicro.com/en_us/research/25/a/information-stealer-masquerades-as-ldapnightmare-poc-exploit.html

IoC

https://www.trendmicro.com/content/dam/trendmicro/global/en/research/25/a/information-stealer-masquerades-as-ldapnightmare-/ioc-information-stealer-masquerades-as-ldapnightmare-poc-exploit.txt

古河大佬发现CVE-2024-49113 被黑客利用,发布恶意 PoC(好害怕发布带毒 poc 啊)

原文始发于微信公众号(独眼情报):古河大佬发现CVE-2024-49113 被黑客利用,发布恶意 PoC(好害怕发布带毒 poc 啊)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月12日21:17:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   古河大佬发现CVE-2024-49113 被黑客利用,发布恶意 PoC(好害怕发布带毒 poc 啊)https://cn-sec.com/archives/3622185.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息