GitHub 上的一个针对 CVE-2024-49113(又名 “LDAPNightmare”)的欺骗性概念验证(PoC)漏洞利用程序会让用户感染信息窃取恶意软件,从而将敏感数据外泄到外部 FTP 服务器。这种策略并不新奇,因为在 GitHub 上已经有多个恶意工具伪装成 PoC 漏洞利用的记录案例。然而,趋势科技发现的这一案例突出表明,威胁行为者仍在使用这种策略诱骗毫无戒心的用户感染恶意软件。GitHub 上的恶意软件库来源:Trend Micro 趋势科技欺骗性利用趋势科技报告称,恶意 GitHub 仓库包含一个似乎是从 SafeBreach Labs 于 2025 年 1 月 1 日发布的 CVE-2024-49113 合法 PoC 中分叉出来的项目。该漏洞是影响 Windows 轻量级目录访问协议(LDAP)的两个漏洞之一,微软在 2024 年 12 月的 “星期二补丁 ”中对其进行了修复,另一个漏洞是严重的远程代码执行(RCE)问题,被追踪为 CVE-2024-49112。SafeBreach最初发布的关于PoC的博文错误地提到了CVE-2024-49112,而他们的PoC是针对CVE-2024-49113的,后者是一个严重性较低的拒绝服务漏洞。这个错误即使后来得到了纠正,也引起了更多人对 LDAPNightmare 及其潜在攻击的兴趣和讨论,这可能正是威胁行为者试图利用的。从恶意软件库下载 PoC 的用户会得到一个包含 UPX 的可执行文件 “poc.exe”,执行后会在受害者的 %Temp% 文件夹中投放一个 PowerShell 脚本。该脚本会在被入侵系统上创建一个计划任务,执行一个从 Pastebin 获取第三个脚本的编码脚本。这个最终有效载荷会收集计算机信息、进程列表、目录列表、IP 地址和网络适配器信息以及已安装的更新,并使用硬编码凭据将它们以 ZIP 压缩包的形式上传到外部 FTP 服务器。从受感染系统中窃取数据来源:趋势科技该攻击的危害指标列表可在此处找到。GitHub 用户为研究或测试而获取公开漏洞时需要谨慎,最好只信任声誉良好的网络安全公司和研究人员。威胁行为者过去曾试图假冒知名安全研究人员,因此验证资源库的真实性也至关重要。如果可能,在系统上执行代码之前先审查代码,将二进制文件上传到 VirusTotal,并跳过任何看起来被混淆的代码。
