威胁行为者正在分发伪装成针对近期Windows LDAP漏洞的概念验证(PoC)利用代码的信息窃取恶意软件。
该安全缺陷被追踪为CVE-2024-49113(CVSS评分7.5),可导致拒绝服务(DoS)攻击,并于12月10日与其他70多个漏洞(包括可能导致远程代码执行(RCE)的关键LDAP漏洞CVE-2024-49112)一同得到修复。
在针对这两个问题的补丁发布不到一个月后,SafeBreach发布了针对CVE-2024-49113的PoC代码,并称其重要性不亚于RCE漏洞。
SafeBreach将CVE-2024-49113称为“LDAP噩梦”,指出如果存在可访问互联网的DNS服务器,该漏洞可被利用来崩溃任何未打补丁的Windows服务器,即使这些服务器不是域控制器。
现在,趋势科技警告称,一款伪造的PoC利用代码诱使安全研究人员在其系统上执行信息窃取恶意软件。
“尽管使用PoC诱饵作为恶意软件传播手段的策略并非新鲜事,但此次攻击仍引发重大担忧,尤其是它利用了可能影响更多受害者的热门问题,”趋势科技指出。
该PoC通过从原始仓库分叉的仓库进行分发,并将原始Python文件替换为使用UPX打包的可执行文件。
执行后,伪造的PoC会在系统的临时文件夹中释放一个PowerShell脚本。该脚本创建一个计划任务,执行一个编码后的脚本,该脚本旨在从Pastebin下载另一个脚本。
第二个脚本收集系统信息,如进程列表、目录列表、IP地址、网络适配器信息和已安装更新,将其压缩成ZIP归档文件,并上传到外部FTP服务器。
发表评论