استغلال خادع لإثبات المفهوم (PoC) لـ CVE-2024-49113 (المعروف أيضًا باسم “LDAPNightmare”) على GitHub يصيب المستخدمين ببرامج ضارة لسرقة المعلومات والتي تقوم بسحب البيانات الحساسة إلى خادم FTP خارجي.
هذا التكتيك ليس جديدًا، حيث كانت هناك حالات متعددة موثقة من الأدوات الضارة”https://www.bleepingcomputer.com/news/security/thousands-of-github-repositories-deliver-fake-poc-exploits-with-malware/” الهدف=”_blank” rel=”nofollow noopener”> متنكرًا في هيئة عمليات استغلال PoC على جيثب.
ومع ذلك، هذه الحالة،”https://www.trendmicro.com/en_us/research/25/a/information-stealer-masquerades-as-ldapnightmare-poc-exploit.html” الهدف=”_blank” rel=”nofollow noopener”> اكتشفه تريند مايكرو، يسلط الضوء على أن الجهات الفاعلة في مجال التهديد تواصل استخدام هذا التكتيك لخداع المستخدمين المطمئنين لإصابة أنفسهم بالبرامج الضارة.
المصدر: تريند مايكرو
استغلال خادع
تشير Trend Micro إلى أن مستودع GitHub الضار يحتوي على مشروع يبدو أنه تم تشعبه من SafeBreach Labs”https://github.com/SafeBreach-Labs/CVE-2024-49113″ الهدف=”_blank” rel=”nofollow noopener”> إثبات المفهوم الشرعي لـ CVE-2024-49113، المنشور في 1 يناير 2025.
يعد الخلل أحد اثنين من بروتوكول الوصول إلى الدليل الخفيف لنظام التشغيل Windows (LDAP)، والذي أصلحته Microsoft في نظام التشغيل Windows”https://www.bleepingcomputer.com/news/microsoft/microsoft-december-2024-patch-tuesday-fixes-1-exploited-zero-day-71-flaws/” الهدف=”_blank” rel=”nofollow noopener”> تصحيح ديسمبر 2024 الثلاثاء، والمشكلة الأخرى هي مشكلة حرجة في تنفيذ التعليمات البرمجية عن بعد (RCE) والتي يتم تتبعها باسم CVE-2024-49112.
SafeBreach الأولي”https://www.safebreach.com/blog/ldapnightmare-safebreach-labs-publishes-first-proof-of-concept-exploit-for-CVE-2024-49113/” الهدف=”_blank” rel=”nofollow noopener”> مشاركة المدونة حول إثبات المفهوم”https://infosec.exchange/@wdormann/113760656970284159″ الهدف=”_blank” rel=”nofollow noopener”> خطأً المذكورة CVE-2024-49112، في حين أن إثبات المفهوم (PoC) الخاص بهم كان لـ CVE-2024-49113، وهو ضعف خطورة رفض الخدمة.
هذا الخطأ، حتى لو تم تصحيحه لاحقًا، قد أثار اهتمامًا وضجيجًا أكبر حول LDAPNightmare وإمكانية شن هجمات عليه، وهو على الأرجح ما حاول ممثلو التهديد استغلاله.
سيحصل المستخدمون الذين يقومون بتنزيل PoC من المستودع الضار على ملف “poc.exe” قابل للتنفيذ ومليء بـ UPX والذي، عند التنفيذ، يسقط برنامج PowerShell النصي في مجلد %Temp% الخاص بالضحية.
يقوم البرنامج النصي بإنشاء مهمة مجدولة على النظام المخترق، والذي ينفذ برنامجًا نصيًا مشفرًا يجلب برنامجًا نصيًا ثالثًا من Pastebin.
تقوم هذه الحمولة النهائية بجمع معلومات الكمبيوتر وقوائم العمليات وقوائم الأدلة وعنوان IP ومعلومات محول الشبكة، بالإضافة إلى التحديثات المثبتة، وتحميلها في نموذج أرشيف ZIP إلى خادم FTP خارجي باستخدام بيانات اعتماد مضمنة.
المصدر: تريند مايكرو
قائمة بمؤشرات الاختراق لهذا الهجوم”https://www.trendmicro.com/content/dam/trendmicro/global/en/research/25/a/information-stealer-masquerades-as-ldapnightmare-/ioc-information-stealer-masquerades-as-ldapnightmare-poc-exploit.txt” الهدف=”_blank” rel=”nofollow noopener”> يمكن العثور عليها هنا.
يحتاج مستخدمو GitHub الذين يبحثون عن ثغرات عامة للبحث أو الاختبار إلى توخي الحذر والثقة المثالية فقط في شركات الأمن السيبراني والباحثين ذوي السمعة الجيدة.
الجهات الفاعلة التهديد لديها”https://www.bleepingcomputer.com/news/security/fake-zero-day-poc-exploits-on-github-push-windows-linux-malware/” الهدف=”_blank” rel=”nofollow noopener”>محاولة انتحال الشخصية باحثون أمنيون معروفون في الماضي، لذا يعد التحقق من صحة المستودع أمرًا بالغ الأهمية أيضًا.
إذا أمكن، قم بمراجعة التعليمات البرمجية قبل تنفيذها على نظامك، وقم بتحميل الثنائيات إلى VirusTotal، وتخطي أي شيء يبدو غامضًا.