High Sierra Cyber Security

PoC ของ Zero-day ปลอมบน GitHub ทำให้เกิดมัลแวร์

By admin News

Twitter และ GitHub เพื่อเผยแพร่ Proof-of-concept เพื่อหาช่องโหว่

ผู้ไม่ประสงค์ดีแอบอ้างเป็นนักวิจัยในโลกไซเบอร์บน Twitter และ GitHub เพื่อเผยแพร่  
Proof-of-concept เพื่อหาช่องโหว่ Zero-day ที่ทำให้ Windows และ Linux ติดมัลแวร์ 

การใช้ประโยชน์กับ Poc ที่เป็นอันตรายนี้ถูกสร้างโดยนักวิจัยปลอมชื่อ ‘High Sierra Cyber Security’
ที่เป็นผู้โปรโมตที่เก็บ GitHub บน Twitter โดยกำหนดเป้าหมายไปยังนักวิจัยด้านความปลอดภัยทางไซเบอร์
และบริษัทที่เกี่ยวข้องกับการวิจัยช่องโหว่ 

บัญชีปลอมบน GitHub 

เหตุการณ์นี้ถูกพบโดย VulnCheck ซึ่งรายงานว่าได้เริ่มดำเนินการตั้งแต่เดือนพฤษภาคม 2023
โดยนักวิจัยปลอมดังกล่าวได้ใช้ประโยชน์จากช่องโหว่ Zero-day ในซอฟต์แวร์ยอดนิยม
เช่น Chrome, Discord, Signal, WhatsApp และ Microsoft Exchange 

พื้นที่เก็บข้อมูลที่เป็นอันตรายโฮสต์ Python script (‘poc.py’) ซึ่งทำหน้าที่เป็นตัวดาวน์โหลดมัลแวร์สำหรับระบบ Linux และ Windows 

Script จะดาวน์โหลดไฟล์ ZIP จาก URL ภายนอกไปยังคอมพิวเตอร์ของเหยื่อโดยขึ้นอยู่กับระบบปฏิบัติการ โดยผู้ใช้ Linux ดาวน์โหลด ‘cveslinux.zip’ และผู้ใช้ Windows จะได้รับ ‘cveswindows.zip’ 

มัลแวร์จะถูกบันทึกไว้ในโฟลเดอร์ Windows %Temp% หรือ Linux /home/<username>/.local/share 

VulnCheck กล่าวว่าไบนารีของ Windows ที่อยู่ใน ZIP (‘cves_windows.exe’) ถูก Flagged โดย AV engines มากกว่า 60% บน VirusTotal โดยยังไม่ทราบประเภทของมัลเเวร์ที่ใช้ในการติดตั้ง แต่โปรแกรมปฏิบัติการทั้งสองที่ติดตั้งไคลเอนต์ TOR และเวอร์ชัน Windows มีการตรวจจับบางอย่างว่าเป็นโทรจันที่ขโมยรหัสผ่าน 

ในปัจจุบัน ควรหลีกเลี่ยงที่เก็บ GitHub ทั้ง 7 รายการ 

  • github.com/AKuzmanHSCS/Microsoft-Exchange-RCE 
  • github.com/MHadzicHSCS/Chrome-0-day 
  • github.com/GSandersonHSCS/discord-0-day-fix 
  • github.com/BAdithyaHSCS/Exchange-0-วัน 
  • github.com/RShahHSCS/Discord-0-Day-Exploit 
  • github.com/DLandonHSCS/Discord-RCE 
  • github.com/SsankkarHSCS/Chromium-0-Day 

นอกจากนี้ บัญชี Twitter เหล่านี้เป็นของผู้แอบอ้างเเละไม่น่าเชื่อถือ 

  • twitter.com/AKuzmanHSCS 
  • twitter.com/DLandonHSCS 
  • twitter.com/GSandersonHSCS 
  • twitter.com/MHadzicHSCS 

คำเเนะนำ 

  • ไม่ควรโหลดดาวน์โหลด POC จาก Twitter เเละ GitHub ที่ไม่น่าเชื่อถือ 
  • เมื่อดาวน์โหลดโค้ดจาก GitHub ควรทำการตรวจสอบโค้ดทั้งหมดเพื่อหาพฤติกรรมที่เป็นอันตราย 

Ref: https://www.bleepingcomputer.com/news/security/fake-zero-day-poc-exploits-on-github-push-windows-linux-malware/ 

 

Share