Vergangene Woche wurde eine Sicherheitslücke in OpenSSH gemeldet, die es Angreifern ermöglicht, Root-Rechte auf Linux-Servern zu erlangen. Während der Analyse der Schwachstellen haben Experten von Kaspersky ein Archiv mit Schadcode entdeckt.
Dieses wird im sozialen Netzwerk X unter dem Deckmantel eines Exploits für die kürzlich entdeckte CVE-2024-6387 aka regreSSHion verbreitet. Kaspersky zufolge könnte dies ein Versuch sein, Cybersicherheitsspezialisten anzugreifen. Vladimir Kuskov, Head of Anti-Malware Research bei Kaspersky, kommentiert:
„Cyberkriminelle nutzen nicht nur die entdeckte Sicherheitslücke in OpenSSH für ihre Zwecke aus, sondern auch die Aufmerksamkeit darum: Sie haben es auch auf diejenigen Cybersicherheitsforscher abgesehen, die die Schwachstelle derzeit analysieren. Wir haben ein Archiv mit Schadcode im sozialen Netzwerk X entdeckt, das unter dem Deckmantel eines Exploits für die kürzlich entdeckte CVE-2024-6387, auch bekannt als regreSSHion, verbreitet wird. In den geposteten Beiträgen dort wird behauptet, dass es einen Server mit einem funktionierenden Exploit für die Sicherheitslücke in OpenSSH, CVE-2024-6387, gäbe.
Das angebotene Archiv enthält angeblich einen funktionierenden Exploit, eine Liste von IP-Adressen und eine Art Payload. Jedoch sind darin Quellcode, eine Reihe schädlicher Binärdateien und Skripte enthalten. Eines der in Python geschriebenen Skripte simuliert die Ausnutzung einer Sicherheitslücke auf Servern an den aufgeführten IP-Adressen. Tatsächlich startet dieses jedoch eine Datei namens „Exploit“ – eine Malware, die darauf ausgelegt ist, dauerhaft im System zu verbleiben, zusätzliche Payloads von einem Remote-Server abzurufen und dem Angreifer potentiell die vollständige Kontrolle über das infizierte Gerät zu verschaffen. Daher wollen wir alle Informationssicherheitsexperten und -enthusiasten daran erinnern, verdächtigen Code nie außerhalb einer speziell dafür vorgesehenen isolierten Umgebung zu analysieren.“
(lb/Kaspersky)