Twitter และ GitHub เพื่อเผยแพร่ Proof-of-concept เพื่อหาช่องโหว่
ผู้ไม่ประสงค์ดีแอบอ้างเป็นนักวิจัยในโลกไซเบอร์บน Twitter และ GitHub เพื่อเผยแพร่
Proof-of-concept เพื่อหาช่องโหว่ Zero-day ที่ทำให้ Windows และ Linux ติดมัลแวร์
การใช้ประโยชน์กับ Poc ที่เป็นอันตรายนี้ถูกสร้างโดยนักวิจัยปลอมชื่อ ‘High Sierra Cyber Security’
ที่เป็นผู้โปรโมตที่เก็บ GitHub บน Twitter โดยกำหนดเป้าหมายไปยังนักวิจัยด้านความปลอดภัยทางไซเบอร์
และบริษัทที่เกี่ยวข้องกับการวิจัยช่องโหว่
บัญชีปลอมบน GitHub
เหตุการณ์นี้ถูกพบโดย VulnCheck ซึ่งรายงานว่าได้เริ่มดำเนินการตั้งแต่เดือนพฤษภาคม 2023
โดยนักวิจัยปลอมดังกล่าวได้ใช้ประโยชน์จากช่องโหว่ Zero-day ในซอฟต์แวร์ยอดนิยม
เช่น Chrome, Discord, Signal, WhatsApp และ Microsoft Exchange
พื้นที่เก็บข้อมูลที่เป็นอันตรายโฮสต์ Python script (‘poc.py’) ซึ่งทำหน้าที่เป็นตัวดาวน์โหลดมัลแวร์สำหรับระบบ Linux และ Windows
Script จะดาวน์โหลดไฟล์ ZIP จาก URL ภายนอกไปยังคอมพิวเตอร์ของเหยื่อโดยขึ้นอยู่กับระบบปฏิบัติการ โดยผู้ใช้ Linux ดาวน์โหลด ‘cveslinux.zip’ และผู้ใช้ Windows จะได้รับ ‘cveswindows.zip’
มัลแวร์จะถูกบันทึกไว้ในโฟลเดอร์ Windows %Temp% หรือ Linux /home/<username>/.local/share
VulnCheck กล่าวว่าไบนารีของ Windows ที่อยู่ใน ZIP (‘cves_windows.exe’) ถูก Flagged โดย AV engines มากกว่า 60% บน VirusTotal โดยยังไม่ทราบประเภทของมัลเเวร์ที่ใช้ในการติดตั้ง แต่โปรแกรมปฏิบัติการทั้งสองที่ติดตั้งไคลเอนต์ TOR และเวอร์ชัน Windows มีการตรวจจับบางอย่างว่าเป็นโทรจันที่ขโมยรหัสผ่าน
ในปัจจุบัน ควรหลีกเลี่ยงที่เก็บ GitHub ทั้ง 7 รายการ
- github.com/AKuzmanHSCS/Microsoft-Exchange-RCE
- github.com/MHadzicHSCS/Chrome-0-day
- github.com/GSandersonHSCS/discord-0-day-fix
- github.com/BAdithyaHSCS/Exchange-0-วัน
- github.com/RShahHSCS/Discord-0-Day-Exploit
- github.com/DLandonHSCS/Discord-RCE
- github.com/SsankkarHSCS/Chromium-0-Day
นอกจากนี้ บัญชี Twitter เหล่านี้เป็นของผู้แอบอ้างเเละไม่น่าเชื่อถือ
- twitter.com/AKuzmanHSCS
- twitter.com/DLandonHSCS
- twitter.com/GSandersonHSCS
- twitter.com/MHadzicHSCS
คำเเนะนำ
- ไม่ควรโหลดดาวน์โหลด POC จาก Twitter เเละ GitHub ที่ไม่น่าเชื่อถือ
- เมื่อดาวน์โหลดโค้ดจาก GitHub ควรทำการตรวจสอบโค้ดทั้งหมดเพื่อหาพฤติกรรมที่เป็นอันตราย
Ref: https://www.bleepingcomputer.com/news/security/fake-zero-day-poc-exploits-on-github-push-windows-linux-malware/