В социальной сети X (ранее известной как Twitter) распространяется архив с вредоносным кодом под видом эксплойта для недавно обнаруженной уязвимости CVE-2024-6387 (regreSSHion). По мнению наших экспертов, это попытка атаки на специалистов по кибербезопасности. Рассказываем, что на самом деле находится в архиве, и как злоумышленники пытаются заманить исследователей в ловушку.
Оглавление
Сопровождающая архив легенда
Предположительно, существует некий сервер, на котором имеется рабочий эксплойт для уязвимости CVE-2024-6387 в OpenSSH. Более того, этот сервер активно применяет этот эксплойт для атак по целому списку IP-адресов. В архиве, предлагаемом любому желающему исследовать эту атаку, якобы находится рабочий эксплойт, список IP-адресов и некая полезная нагрузка.
Содержимое вредоносного архива
На самом деле, в архиве имеется некий исходный код, набор вредоносных бинарных файлов и скриптов. Исходный код очень похож на несколько подредактированную версию неработающего доказательства работоспособности этой уязвимости (PoC, Proof of Concept), которое ранее уже встречалось в свободном доступе.
Один из скриптов, написанный на Python, имитирует эксплуатацию уязвимости на серверах, расположенных по IP-адресам из имеющегося списка. В реальности, он запускает вредоносный файл exploit — зловред, служащий для закрепления в системе и скачивания полезной нагрузки с удаленного сервера. Вредоносный код сохраняется в файле в директории /etc/cron.hourly. А для закрепления в системе он модифицирует файл ls и записывает в него свою копию, повторяющую выполнение вредоносного кода при каждом запуске.
Как оставаться в безопасности
По всей видимости, авторы атаки рассчитывают на то, что, работая с заведомо вредоносным кодом, исследователи отключат защитные решения и сфокусируются на анализе обмена данными между зловредом и уязвимым к CVE-2024-6387 сервером. А в это время совершенно другой вредоносный код будет использован для компрометации компьютеров исследователей.
Поэтому мы напоминаем всем ИБ-экспертам и прочим любителям проанализировать подозрительный код не работать со зловредами вне специально подготовленной изолированной среды, из которой недоступна внешняя инфраструктура.
Продукты «Лаборатории Касперского» детектируют элементы этой атаки c вердиктами:
UDS:Trojan-Downloader.Shell.FakeChecker.a
UDS:Trojan.Python.FakeChecker.a
HEUR:Trojan.Linux.Agent.gen
Linux.Lamer.b
HEUR:DoS.Linux.Agent.dt
Что же касается уязвимости regreSSHion, то, как мы и писали раньше, ее практическая эксплуатация сопряжена с большими трудностями.
Блог Касперского