PoC lừa đảo của lỗ hổng LDAPNightmware trên GitHub phát tán phần mềm độc hại đánh cắp thông tin

09:00 | 24/01/2025 | LỖ HỔNG ATTT

Các nhà nghiên cứu bảo mật đã phát hiện một mã khai thác (Proof of Concept - PoC) lừa đảo đối với lỗ hổng CVE-2024-49113 (hay còn gọi là LDAPNightmare) trên GitHub lây nhiễm phần mềm độc hại đánh cắp thông tin cho người dùng, từ đó đánh cắp dữ liệu nhạy cảm sang máy chủ FTP bên ngoài.

PoC lừa đảo của lỗ hổng LDAPNightmware trên GitHub phát tán phần mềm độc hại đánh cắp thông tin

Đây không phải là một hình thức mới vì đã có nhiều trường hợp được ghi nhận về các công cụ độc hại được ngụy trang dưới dạng khai thác PoC trên GitHub. Tuy nhiên, các nhà nghiên cứu của hãng bảo mật Trend Micro (Mỹ) nhấn mạnh rằng kẻ tấn công vẫn tiếp tục sử dụng chiến thuật này để đánh lừa những người dùng nhẹ dạ cả tin để thực hiện lây nhiễm phần mềm độc hại.

Hình 1. Kho lưu trữ độc hại trên GitHub

Trend Micro báo cáo rằng kho lưu trữ GitHub độc hại chứa một project dường như đã được sao chép từ PoC hợp pháp của SafeBreach Labs cho lỗ hổng CVE-2024-49113 có điểm CVSS là 7.5, cho thấy mức độ ảnh hưởng đáng kể, lỗ hổng này vốn đã được công bố trước đó vào ngày 01/01/2025.

Lỗ hổng ảnh hưởng đến dịch vụ LDAP, đã được Microsoft khắc phục trong bản vá Patch Tuesday tháng 12/2024, lỗ hổng còn lại là sự cố thực thi mã từ xa (RCE) nghiêm trọng được theo dõi có mã CVE-2024-49112.

Bài đăng trên blog ban đầu của SafeBreach về PoC đã đề cập sai đến CVE-2024-49112, trong khi PoC của họ là CVE-2024-49113, đây là lỗ hổng từ chối dịch vụ có mức độ nghiêm trọng thấp hơn (lỗ hổng có thể bị khai thác để làm gián đoạn dịch vụ LDAP)

Sai lầm này tuy đã được sửa chữa sau đó nhưng cũng tạo ra sự quan tâm và xôn xao lớn xung quanh LDAPNightmare và khả năng tấn công của nó có lẽ là điều mà những kẻ tấn công đã cố gắng lợi dụng.

Người dùng tải xuống PoC từ kho lưu trữ độc hại sẽ nhận được tệp thực thi “poc[.]exe” được đóng gói bằng UPX, khi thực thi, tệp này sẽ chèn một script PowerShell vào thư mục %Temp% của nạn nhân, nó sẽ tạo ra một tác vụ theo lịch trình trên hệ thống bị xâm phạm, thực thi một script được mã hóa để lấy script thứ ba từ Pastebin.

Payload cuối cùng này thu thập thông tin máy tính, danh sách tiến trình, thư mục, địa chỉ IP và thông tin về network adapter, cũng như các bản cập nhật đã cài đặt và tải chúng lên dưới dạng lưu trữ ZIP trên máy chủ FTP bên ngoài bằng thông tin xác thực được mã hóa cứng.

Hình 2. Đánh cắp dữ liệu từ hệ thống bị nhiễm

Người dùng được khuyến cáo, bảo vệ chống lại các kho lưu trữ giả mạo chứa phần mềm độc hại liên quan đến việc áp dụng kết hợp các biện pháp kỹ thuật, nhận thức về bảo mật và các biện pháp thực hành tốt nhất. Trong đó cần chú ý đến các nội dung sau:

- Luôn tải xuống code, thư viện và phần phụ thuộc từ các kho lưu trữ chính thức và đáng tin cậy.

- Hãy thận trọng với các kho lưu trữ có nội dung đáng ngờ có vẻ không phù hợp với công cụ hoặc ứng dụng mà nó lưu trữ.

- Nếu có thể, hãy xác nhận danh tính của chủ sở hữu hoặc tổ chức lưu trữ.

- Xem lại lịch sử cam kết của kho lưu trữ và những thay đổi gần đây để tìm ra bất thường hoặc dấu hiệu của hoạt động độc hại.

- Chú ý với các kho lưu trữ bị đánh giá thấp, tìm kiếm các bài đánh giá, vấn đề hoặc thảo luận về kho lưu trữ để xác định các dấu hiệu cảnh báo tiềm ẩn.

Người dùng có thể theo dõi danh sách các dấu hiệu bị xâm phạm của cuộc tấn công này có thể được tìm thấy tại đây.

Hồng Đạt

(Tổng hợp)

‹ › ×

Tin liên quan

GitHub, Telegram Bot và mã QR bị lạm dụng trong làn sóng tấn công lừa đảo mới

07:00 | 22/10/2024

Một chiến dịch phần mềm độc hại mới nhắm vào lĩnh vực bảo hiểm và tài chính đã được phát hiện bằng cách sử dụng các liên kết GitHub trong các email lừa đảo như một cách để vượt qua các biện pháp bảo mật và phát tán Remcos RAT. Chiến dịch cho thấy phương pháp này đang được các tác nhân đe dọa ưa chuộng.

Dự báo 5 mối đe dọa phần mềm độc hại hàng đầu trong năm 2025

10:00 | 06/02/2025

Năm 2025 được dự báo sẽ chứng kiến sự gia tăng các cuộc tấn công mạng, với sự xuất hiện và phát triển mạnh mẽ của những phần mềm độc hại nhắm vào cả cá nhân lẫn tổ chức trên toàn cầu. Bài viết tập trung nghiên cứu và phân tích 5 mối đe dọa phần mềm độc hại hàng đầu được dự báo sẽ gây ảnh hưởng lớn nhất trong năm nay. Từ những dòng mã độc tống tiền tinh vi đến trojan đánh cắp thông tin và công cụ truy cập từ xa. Những mối đe dọa này không chỉ đặt ra thách thức lớn cho các chuyên gia an ninh mạng mà còn yêu cầu sự chuẩn bị kỹ lưỡng từ mọi tổ chức và cá nhân.

Nhóm tin tặc Stargazer Goblin tạo tài khoản GitHub giả để phát tán phần mềm độc hại và đánh cắp dữ liệu

14:00 | 06/08/2024

Một nhóm tin tặc có tên Stargazer Goblin đã thiết lập một mạng lưới các tài khoản GitHub không xác thực để cung cấp dịch vụ phân phối dưới dạng dịch vụ (DaaS) nhằm phát tán nhiều loại phần mềm độc hại và đánh cắp thông tin, nhóm đã thu về 100.000 USD lợi nhuận bất hợp pháp trong năm qua.

Tin tặc khai thác lỗ hổng SimpleHelp RMM để triển khai phần mềm độc hại Sliver

17:00 | 25/02/2025

Các nhà nghiên cứu tại công ty an ninh mạng Field Effect (Canada) cảnh báo, tin tặc đang nhắm vào các máy RMM SimpleHelp client dễ bị tấn công để tạo tài khoản quản trị viên, cài đặt mã độc và có thể làm trung gian cho các cuộc tấn công bằng mã độc tống tiền.

Hơn 3.000 tài khoản GitHub bị lợi dụng để phát tán mềm độc hại

16:00 | 06/08/2024

Nhóm tin tặc Stargazer Goblin thực hiện phân phối dưới dạng dịch vụ (DaaS) phần mềm độc hại từ hơn 3.000 tài khoản giả mạo trên GitHub.

Tin cùng chuyên mục

Bybit trở thành nạn nhân của vụ trộm tiền mã hóa lớn nhất trong lịch sử

09:00 | 24/02/2025

Vụ tấn công lớn nhất lịch sử tiền mã hóa đã diễn ra vào ngày 21/2, khi ví Bybit đã bị hacker lấy đi số ETH trị giá 1,46 tỷ USD. Trước đó, Bybit thu hút giới đầu tư tiền mã hóa bởi việc tuyên bố không niêm yết Pi và ám chỉ rằng đó là dự án lừa đảo.

Lỗ hổng CVE-2025-1240 trong WinZip cho phép kẻ tấn công thực thi mã tùy ý

08:00 | 21/02/2025

Một lỗ hổng định danh CVE-2025-1240 với điểm CVSS 7,8 được phát hiện trong phần mềm giải nén Winzip có khả năng cho phép kẻ tấn công từ xa thực thi mã tùy ý trên các hệ thống bị ảnh hưởng. Đây là một lỗ hổng Out-Of-Bound Write cho phép ghi ngoài vùng nhớ được cấp phát của chương trình.

Vén màn sự phát triển chuỗi lây nhiễm độc hại của nhóm tin tặc Lazarus

21:00 | 26/01/2025

Trong vài năm qua, nhóm tin tặc Lazarus đã phân phối phần mềm độc hại bằng cách khai thác các cơ hội việc làm giả mạo nhắm vào nhân viên trong nhiều ngành công nghiệp khác nhau, bao gồm quốc phòng, hàng không vũ trụ, tiền điện tử và các lĩnh vực toàn cầu khác. Chiến dịch tấn công này được gọi là DeathNote và cũng được gọi là “Operation DreamJob”. Bài viết sẽ cung cấp tổng quan về những thay đổi đáng kể trong chuỗi lây nhiễm của Lazarus và khám phá cách chúng kết hợp việc sử dụng các mẫu phần mềm độc hại mới và cũ để điều chỉnh các cuộc tấn công.

Mạo danh doanh nghiệp bưu chính, giả mạo dịch vụ bảo mật để lừa đảo

13:00 | 13/01/2025

Lừa đảo mạo danh đang là chiêu trò kẻ tấn công sử dụng trên không gian mạng Việt Nam và quốc tế. Lừa đảo qua email giả mạo dịch vụ bảo mật Windows và mạo danh doanh nghiệp bưu chính là 2 thủ đoạn vừa được các chuyên gia cảnh báo.