Thought Leadership
Cyberkriminelle setzen auf eine perfide Methode, um Sicherheitsforscher zu täuschen und Malware zu verbreiten. Durch einen gefälschten Proof-of-Concept (PoC)-Exploit, der eine bereits gepatchte Windows-Sicherheitslücke ausnutzt, versuchen sie, sensible Informationen zu stehlen.
Die Sicherheitslücke mit der Kennung CVE-2024-49113 befindet sich im Windows Lightweight Directory Access Protocol (LDAP) von Microsoft und ermöglicht einen Denial-of-Service-Angriff.
Angriff auf die Cybersicherheits-Community
Ein Bericht von Trend Micro enthüllt, dass die Angreifer ein bösartiges Repository erstellt haben, das den gefälschten PoC enthält. Dieses Repository scheint auf den ersten Blick ein legitimer Fork eines ursprünglichen Repositorys zu sein, was es schwierig macht, den Angriff sofort zu erkennen. Ziel der Angriffe ist es, Sicherheitsforscher dazu zu verleiten, Malware herunterzuladen und auszuführen, die dann Informationen abzweigt.
Die Methode hat einen Namen: LDAPNightmare. Sobald nichtsahnende Forscher den scheinbar harmlosen Code herunterladen, wird ein Infostealer aktiviert. Dieser sammelt sensible Daten, darunter Informationen über den Computer, laufende Prozesse, Netzwerkdetails und installierte Updates. Die Daten werden anschließend an einen Remote-Server der Angreifer übertragen.
Cyberkriminelle nutzen hinterlistige Technik
Die Angreifer verwenden eine besonders hinterhältige Technik, um die Forscher zu täuschen. Obwohl das Repository auf den ersten Blick wie ein legitimer PoC aussieht, enthalten die Dateien bösartigen Code. Echte Python-Dateien wurden durch eine bösartige, ausführbare Datei ersetzt, die ein PowerShell-Skript startet. Dieses Skript richtet eine geplante Aufgabe ein, die ein weiteres bösartiges Skript von der Plattform Pastebin herunterlädt und ausführt. Letzteres sammelt die öffentliche IP-Adresse des Opfers und exfiltriert die gestohlenen Daten auf einen externen FTP-Server.
Historie und Warnung an Sicherheitsforscher
Versuche, Security-Experten mit falschen PoC-Exploits hereinzulegen, gab es bereits in der Vergangenheit. Dennoch stellen solche Fälle eine ernsthafte Bedrohung für die Cybersicherheits-Community dar. Selbst wenn nur wenige Angriffe erfolgreich sind, können Kriminelle wertvolle Informationen erlangen, die für weitere Angriffe auf kritische Systeme genutzt werden können.
Sicherheitsforscher sollten daher beim Herunterladen und Ausführen von Code aus Online-Repositories besonders vorsichtig sein. Offizielle Quellen sollten bevorzugt, verdächtige Inhalte untersucht und die Authentizität der Repository-Eigentümer oder Organisationen überprüft werden.
Schutzmaßnahmen gegen gefälschte Repositories
Neben der Wahl vertrauenswürdiger Quellen empfiehlt es sich, bei Repositories mit geringer Aktivitat das Feedback der Community zu berücksichtigen. Warnhinweise innerhalb des Repositorys sollten beachtet werden, um potenzielle Sicherheitsrisiken zu erkennen.
Die Cybersicherheits-Community bleibt ein beliebtes Ziel für Angreifer, doch mit erhöhter Wachsamkeit und sorgfältigen Prüfungen können solche Bedrohungen minimiert werden.
(vp/8com GmbH & Co. KG)
