Đây không phải là một hình thức mới vì đã có nhiều trường hợp được ghi nhận về các công cụ độc hại được ngụy trang dưới dạng khai thác PoC trên GitHub. Tuy nhiên, các nhà nghiên cứu của hãng bảo mật Trend Micro (Mỹ) nhấn mạnh rằng kẻ tấn công vẫn tiếp tục sử dụng chiến thuật này để đánh lừa những người dùng nhẹ dạ cả tin để thực hiện lây nhiễm phần mềm độc hại.
Hình 1. Kho lưu trữ độc hại trên GitHub
Trend Micro báo cáo rằng kho lưu trữ GitHub độc hại chứa một project dường như đã được sao chép từ PoC hợp pháp của SafeBreach Labs cho lỗ hổng CVE-2024-49113 có điểm CVSS là 7.5, cho thấy mức độ ảnh hưởng đáng kể, lỗ hổng này vốn đã được công bố trước đó vào ngày 01/01/2025.
Lỗ hổng ảnh hưởng đến dịch vụ LDAP, đã được Microsoft khắc phục trong bản vá Patch Tuesday tháng 12/2024, lỗ hổng còn lại là sự cố thực thi mã từ xa (RCE) nghiêm trọng được theo dõi có mã CVE-2024-49112.
Bài đăng trên blog ban đầu của SafeBreach về PoC đã đề cập sai đến CVE-2024-49112, trong khi PoC của họ là CVE-2024-49113, đây là lỗ hổng từ chối dịch vụ có mức độ nghiêm trọng thấp hơn (lỗ hổng có thể bị khai thác để làm gián đoạn dịch vụ LDAP)
Sai lầm này tuy đã được sửa chữa sau đó nhưng cũng tạo ra sự quan tâm và xôn xao lớn xung quanh LDAPNightmare và khả năng tấn công của nó có lẽ là điều mà những kẻ tấn công đã cố gắng lợi dụng.
Người dùng tải xuống PoC từ kho lưu trữ độc hại sẽ nhận được tệp thực thi “poc[.]exe” được đóng gói bằng UPX, khi thực thi, tệp này sẽ chèn một script PowerShell vào thư mục %Temp% của nạn nhân, nó sẽ tạo ra một tác vụ theo lịch trình trên hệ thống bị xâm phạm, thực thi một script được mã hóa để lấy script thứ ba từ Pastebin.
Payload cuối cùng này thu thập thông tin máy tính, danh sách tiến trình, thư mục, địa chỉ IP và thông tin về network adapter, cũng như các bản cập nhật đã cài đặt và tải chúng lên dưới dạng lưu trữ ZIP trên máy chủ FTP bên ngoài bằng thông tin xác thực được mã hóa cứng.
Hình 2. Đánh cắp dữ liệu từ hệ thống bị nhiễm
Người dùng được khuyến cáo, bảo vệ chống lại các kho lưu trữ giả mạo chứa phần mềm độc hại liên quan đến việc áp dụng kết hợp các biện pháp kỹ thuật, nhận thức về bảo mật và các biện pháp thực hành tốt nhất. Trong đó cần chú ý đến các nội dung sau:
- Luôn tải xuống code, thư viện và phần phụ thuộc từ các kho lưu trữ chính thức và đáng tin cậy.
- Hãy thận trọng với các kho lưu trữ có nội dung đáng ngờ có vẻ không phù hợp với công cụ hoặc ứng dụng mà nó lưu trữ.
- Nếu có thể, hãy xác nhận danh tính của chủ sở hữu hoặc tổ chức lưu trữ.
- Xem lại lịch sử cam kết của kho lưu trữ và những thay đổi gần đây để tìm ra bất thường hoặc dấu hiệu của hoạt động độc hại.
- Chú ý với các kho lưu trữ bị đánh giá thấp, tìm kiếm các bài đánh giá, vấn đề hoặc thảo luận về kho lưu trữ để xác định các dấu hiệu cảnh báo tiềm ẩn.
Người dùng có thể theo dõi danh sách các dấu hiệu bị xâm phạm của cuộc tấn công này có thể được tìm thấy tại đây.
Hồng Đạt
(Tổng hợp)
07:00 | 22/10/2024
10:00 | 06/02/2025
14:00 | 06/08/2024
16:00 | 06/08/2024
16:00 | 22/01/2025
Trong tháng 12, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
13:00 | 13/01/2025
Lừa đảo mạo danh đang là chiêu trò kẻ tấn công sử dụng trên không gian mạng Việt Nam và quốc tế. Lừa đảo qua email giả mạo dịch vụ bảo mật Windows và mạo danh doanh nghiệp bưu chính là 2 thủ đoạn vừa được các chuyên gia cảnh báo.
08:00 | 16/12/2024
Ngày 3/12, Trung tâm An ninh mạng quốc gia Anh (NCSC) vừa công bố đánh giá thường niên cho thấy các cuộc tấn công mạng nghiêm trọng nhằm vào các tổ chức và công ty của nước này trong 12 tháng qua đã tăng gấp 3 lần năm 2023, trong đó có các sự cố lớn ảnh hưởng đến các bệnh viện ở London và Thư viện quốc gia Anh.
13:00 | 11/11/2024
Theo trang TechSpot, FakeCall là một loại mã độc Android chuyên tấn công tài khoản ngân hàng khét tiếng trong những năm qua đã quay trở lại với 13 biến thể mới, sở hữu nhiều tính năng nâng cao, là mối đe dọa với người dùng toàn cầu.
Các trang web giả mạo quảng cáo Google Chrome đã được sử dụng để phân phối trình cài đặt độc hại cho một loại trojan truy cập từ xa có tên là ValleyRAT.
13:00 | 14/02/2025