警惕!Lua恶意软件正在借GitHub伪装,以安全之名行攻击之实

admin
admin
admin
138635
文章
114
评论
2025年1月28日14:55:12评论31 views字数 2028阅读6分45秒阅读模式
警惕!Lua恶意软件正在借GitHub伪装,以安全之名行攻击之实

近期,亚信安全威胁情报中心在监测网络安全动态时,发现了一起令人关注的网络攻击事件。攻击者利用GitHub平台的开放性,将恶意样本托管在上面,意图引诱安全研究员下载并运行其中的Lua恶意软件。这种恶意软件通过伪装成安全工具,以检测FortiOS身份验证漏洞为诱饵,吸引研究人员的兴趣。

恶意软件下载链接为:https[://]github[.]com/rokytd/files/raw/refs/heads/master/Software.zip

警惕!Lua恶意软件正在借GitHub伪装,以安全之名行攻击之实

攻击者近期活跃度较高:

警惕!Lua恶意软件正在借GitHub伪装,以安全之名行攻击之实

样本分析

样本由四个部分组成:

警惕!Lua恶意软件正在借GitHub伪装,以安全之名行攻击之实

其中lua.exe是LuaJIT解释器,config.txt是lua代码,被严重混淆

警惕!Lua恶意软件正在借GitHub伪装,以安全之名行攻击之实

Launcher.bat:启动lua解释器的脚本

警惕!Lua恶意软件正在借GitHub伪装,以安全之名行攻击之实

对关键api下断点后发现c2:87.120.36.50

警惕!Lua恶意软件正在借GitHub伪装,以安全之名行攻击之实

流量包:

警惕!Lua恶意软件正在借GitHub伪装,以安全之名行攻击之实

溯源

对样本进行关联发现从24年底就有组织以相同的手法将恶意样本托管到GitHub上,针对目标有网络安全从业人员、roblox游戏黑客等。公网搜索发现已有人披露相关事件,GitHub托管链接与此次事件的不同,但c2相同:

警惕!Lua恶意软件正在借GitHub伪装,以安全之名行攻击之实

攻击者使用的邮箱列表如下:

警惕!Lua恶意软件正在借GitHub伪装,以安全之名行攻击之实

访问站点songe[.]li发现该网站指向网站"https[://]github[.]com/lisonge":

警惕!Lua恶意软件正在借GitHub伪装,以安全之名行攻击之实

该GitHub归个人所有,该用户邮箱账号疑似失陷:

警惕!Lua恶意软件正在借GitHub伪装,以安全之名行攻击之实

IOC

  • http[://]89.169.13[.]169/api/OWYsN2YsN2YsYTAsOWUsODYsOGMsOTYsNjQsN2Ms

  • http[://]87.120.36[.]50/api/YTAsODYsODIsOWQsYTEsODgsOTAsOTUsNjUsN2Qs

  • http[://]212.193.4[.]66/api/OWYsN2YsN2YsYTAsOWUsODYsOGMsOTYsNjQsN2Ms

  • http[://]146.19.128[.]146/api/OWYsN2YsN2YsYTAsOWUsODYsOGMsOTYsNjQsN2Ms

Github项目地址

  • https[:]//github[.]com/28larsosamj/KRNL-Executor

  • https[:]//github[.]com/Hades-66/Roblox-Cryptic-Executor

  • https[:]//github[.]com/NeidStillSad/MikuMikuBeam

  • https[:]//github[.]com/XAlejoXxx/Roblox-Celery

  • https[:]//github[.]com/azpower90/Lunar-Executor

  • https[:]//github[.]com/tyoxlx/Roblox-Synapse

  • https[:]//github[.]com/user-attachments

  • https[:]//github[.]com/souzatyler/fortios-auth-bypass-check-CVE-2024-55591?tab=readme-ov-file

  • https[:]//github[.]com/Babyhamsta/Aimmy

  • https[:]//github[.]com/rokytd

  • https[:]//github[.]com/BarmyLeopard6/Solara-Executor/

警惕!Lua恶意软件正在借GitHub伪装,以安全之名行攻击之实

处置建议

攻击者通过发布看似合法的代码和工具,试图利用研究人员对安全漏洞分析的需求,从而实现恶意代码的传播。一旦用户下载并运行该恶意软件,攻击者便可能获得对受害者系统的控制权,进而实施进一步的攻击或者数据窃取。针对这一情况,亚信安全威胁情报中心提醒所有安全研究人员和相关从业者,在下载和运行不明来源的软件时,务必保持高度的警惕和谨慎,确保自身和组织的网络安全。同时,建议定期更新安全防护措施,增强对潜在威胁的识别和响应能力,以降低被攻击的风险。

亚信安全产品解决方案

亚信安全威胁情报引擎已经全面赋能云安全、端点安全、APT高级威胁防护产品,请升级威胁情报特征库版本至2002.204,特征库更新日期20250123。亚信安全威胁情报中心海豚平台、信舷防毒墙系统(AE)、信桅高级威胁监测系统(TDA)已能检测此次钓鱼事件。

亚信安全威胁情报中心

亚信安全威胁情报中心深耕威胁情报领域多年,具备国内一流的威胁情报分析、人工智能及大数据团队,依托公司国际基因与多元化数据来源优势,对全球威胁事件及时跟踪与深度解析。威胁情报中心聚焦实战化、场景化情报,以数据驱动威胁情报运营,使用Ai赋能威胁情报生产、运营全流程,在挖矿治理、网络钓鱼检测、黑客工具检测、勒索治理、勒索泄密点检测等方面处于国内领先地位。威胁情报中心首创威胁情报云端联动小时级响应机制,为客户提供“一点触达、全网免疫”的体验。

了解亚信安全,请点击“阅读原文”

原文始发于微信公众号(亚信安全):警惕!Lua恶意软件正在借GitHub伪装,以安全之名行攻击之实

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月28日14:55:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   警惕!Lua恶意软件正在借GitHub伪装,以安全之名行攻击之实https://cn-sec.com/archives/3666418.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息