«В ходе дальнейшего расследования мы обнаружили, что это вредоносное ПО, замаскированное под эксплойт. Также мы обнаружили вредонос, который является поддельной PoC CVE-2022-24500 . Оба вредоносных образца были доступны на GitHub. Интересно, что оба репозитория принадлежат одному и тому же профилю, что указывает на возможность злоумышленника проводить кибератаку на ИБ-сообщество», - сообщила Cyble.
Согласно анализу вредоносного ПО, эксплойт представляет из себя двоичный файл .Net, упакованный бесплатным open-source средством защиты для .NET-приложений ConfuserEX. Вредоносный код не включает в себя эксплойты для уязвимостей в фейковом PoC, а только выводит поддельное сообщение о попытке использовать уязвимости и запускает шелл-код. Вредоносная программа выполняет команду PowerShell с помощью cmd.exe для доставки фактической полезной нагрузки Cobalt-Strike Beacon. Затем злоумышленник может использовать Cobalt-Strike Beacon для дополнительных полезных нагрузок и выполнения боковых перемещений.
«Обычно ИБ-специалисты используют эксплойты для проверки уязвимостей. Следовательно, данное вредоносное ПО нацелено только на людей из ИБ-сообщества. Поэтому для членов сообщества кибербезопасности следует проверять достоверность источников перед загрузкой PoC» - заключила Cyble.