偽の PoC エクスプロイトに御用心:GitHub を悪用する新手のマルウェア配布方式

Cybersecurity Community Warned of Fake PoC Exploits Delivering Malware

2022/05/24 SecurityWeek — サイバー・セキュリティ・コミュニティのメンバーたちに、PoC エクスプロイトだと偽ってマルウェアを配信する、脅威アクターたちの新たな動きが、研究者たちにより暴かれた。5月19日に研究者たちは、2022日4月の Patch Tuesday アップデートで Microsoft が修正した、Windows の脆弱性数件の PoC エクスプロイトに見せかけた、悪意のソフトウェアが GitHub にホストされていることを報告した。

この偽の PoC エクスプロイトは、すでに GitHub により削除されたが、実行ファイルとして配信され、起動されるとシステムへのバックドアを開くものだとされる。

この PoC は、脆弱性 CVE-2022-24500/CVE-2022-26809 をターゲットとしており、いずれも Windows システム上でリモートコード実行のために悪用される可能性があるものだ。これらの欠陥が攻撃に利用された形跡はないが、一部のサイバー・セキュリティ企業は、これらの欠陥が深刻なリスクをもたらす可能性があると警告している。たとえば、CVE-2022-26809 に関して言えば、ワーム化が可能だとも考えられている。

脅威情報企業である Cyble は、この偽の PoC エクスプロイトを分析し、脅威アクターが情報セキュリティ・コミュニティのメンバーたちを標的にするために、それらを使用している可能性が高いと判断している。また、サイバー犯罪フォーラムで、このエクスプロイトについて議論している投稿も発見されている。

偽の PoC は、同じ脅威アクターにより作成されたと思われ、ConfuserEx というオープンソースのアプリケーション・プロテクターが組み込まれた、.NET バイナリ形式で配布されている。実行すると、CVE-2022-24500 または CVE-2022-26809 を悪用する試みが失敗したことを示すと思われる、偽のメッセージが表示される。

Fake PoC exploit


このルーチンを実行された後に、これらのファイルにより隠された PowerShell コマンドが実行され、追加のマルウェアのダウンロードや横移動に使用できる、Cobalt Strike Beacon ペイロードが配信される。

Cyble は、「一般的に、情報セキュリティに従事する人々は、脆弱性をチェックするためにエクスプロイトを使用する。したがって、このマルウェアは、セキュリティ・コミュニティの人々だけをターゲットにしている可能性がある。つまり、Infosec Community のメンバーたちは、PoC をダウンロードする前にソースの信頼性を確認することが不可欠になる」と説明している。

この偽の PoC エクスプロイトを、実際に実行した人がいたのかどうか、また、そのシステムが侵害されたのかどうかは不明である。しかし、コミュニティの一部のメンバーのし的によると、研究者たちはサンドボックス環境で偽のエクスプロイトをテストする可能性が高く、その場合には、影響が大幅に制限されると述べている。

脅威アクターがサイバーセキュリティ・コミュニティを標的にすることは、決して珍しいことではない。昨年に Google が警告したのは、北朝鮮のハッカーが、ゼロデイ脆弱性や、偽のソーシャルメディア・プロフィール、悪意の Web サイトなどを利用して、さまざまな企業や組織のセキュリティ研究者を標的にしたことだ。彼らは、偽のペンテスト会社をも設立していたと述べていた。

このところ、いろんな問題が続出している GitHub ですが、4月7日の「Google と GitHub が協力:ソフトウェアの真正性確保によりサプライチェーン攻撃に対抗」にあるようなかたちで、PoC エクスプロイトに管理も必要になるのでしょうか。可能であるなら、5月18日の「Google Cloud の Assured OSS サービス:審査済みの Open Source コンポーネントを提供」に記されているような、審査も行ってくれると良いですね。

%d bloggers like this: