漏洞情報公司VulnCheck最近發現,在GitHub和Twitter上有黑客團伙假冒網絡安全研究人員發布虛假的PoC漏洞利用,借此針對Windows和Linux設備植入惡意軟件。

在個人資料頁面,這些人自稱是“High Sierra Cyber Security”網絡安全公司的研究人員,為增加可信度,甚至還盜用了Rapid7等安全公司的真實安全研究人員的頭像。他們在Twitter上宣傳其看似正規的GitHub代碼庫,潛在攻擊目標很可能是參與漏洞研究的網絡安全研究人員及公司。

6月14日,VulnCheck漏洞情報公司撰寫了一篇博文闡述此事,他們報告稱這個活動自2023年5月以來一直在進行,該團伙推廣針對Chrome、Discord、Signal、WhatsApp和Microsoft Exchange等流行軟件的0day漏洞利用。但所有這些惡意代碼庫都包含一個名為“poc.py”的Python腳本(包含用于下載并執行惡意二進制文件的代碼),將根據受害者的主機操作系統下載不同的有效負載。

該腳本會根據受害者的操作系統從外部URL下載一個ZIP文件到受害者的計算機上,Linux用戶是“cveslinux.zip”,Windows用戶則是“cveswindows.zip”。惡意軟件會被保存到Windows的%Temp%目錄或Linux的/home//.local/share文件夾中,然后被解壓并執行。

VulnCheck報告稱,該ZIP文件中的Windows可執行文件('cves_windows.exe')在VirusTotal上被超過60%的殺毒引擎標記,Linux可執行文件('cves_linux')則要隱蔽得多。盡管每次發現新的類似活動VulnCheck都在第一時間聯系平臺進行刪除,但VulnCheck指出,這些黑客團伙似乎很有毅力,在現有賬戶和代碼庫被舉報并刪除后,他們總會創建新的賬戶和代碼庫。

VulnCheck針對此類事件提醒網絡安全研究人員及愛好者,在從未知代碼庫下載內容時需要注意仔細審查代碼。通過針對漏洞研究和網絡安全社區,惡意軟件可能會為攻擊者提供網絡安全公司的網絡初始訪問權限,導致進一步的數據竊取和勒索攻擊。由于網絡安全公司往往擁有關于客戶的敏感信息,如漏洞評估、遠程訪問憑據甚至未公開的零日漏洞,對于不法分子來說是非常有價值的攻擊目標。

網絡安全 黑客 poc
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接