https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

新聞

惡意概念驗證程式(PoC)鎖定資安研究員散布惡意軟體

2025 / 01 / 22
編輯部
惡意概念驗證程式(PoC)鎖定資安研究員散布惡意軟體
近期發現一個假冒的概念驗證程式(PoC)專門針對資安研究人員進行攻擊,誘使他們下載惡意程式。該詐騙手法利用了微軟 Windows LDAP 服務最近修補的重大漏洞(CVE-2024-49113),此漏洞可能導致阻斷服務攻擊。

趨勢科技最新研究指出,研究人員發現了一個針對 CVE-2024-49113 的假冒概念驗證程式。這個由 Safebreach 最初發現的漏洞存在於微軟 Windows 輕量級目錄存取協定(LDAP)中,可能引發阻斷服務攻擊。

駭客建立了一個含有假冒 PoC 的惡意程式碼儲存庫,意圖竊取受害者的電腦和網路資訊。這個名為 LDAPNightmare 的攻擊,專門設計用來誘使資安研究人員下載並執行竊密程式。

一旦研究人員下載或執行這個偽裝成無害的程式碼,就會觸發竊密程式。惡意程式會自動收集受感染電腦的敏感資料,包括電腦資訊、執行中的處理程序、網路細節和已安裝的更新,並將這些資料傳送至駭客控制的遠端伺服器。

駭客採用精密的偽裝手法,讓惡意儲存庫看似合法儲存庫的分支,使其惡意性質難以辨識。

儲存庫中的原始 Python 檔案已被替換為惡意執行檔。執行後,程式會釋放並運行 PowerShell 指令碼,建立排程工作以從 Pastebin 下載另一個惡意指令碼。最終,該指令碼會收集受害者的公開IP位址,並將竊取的資料傳送至外部 FTP 伺服器。

微軟在2024年12月的patch tuesday例行修復包中修復了以下 LDAP 相關漏洞:
  • CVE-2024-49112:可透過特製LDAP請求進行遠端程式碼執行的漏洞
  • CVE-2024-49113:可能導致LDAP服務當機的阻斷服務漏洞
值得一提的是,PoC 程式本質上是無害的測試攻擊,主要用於發現軟體安全弱點並協助企業修補漏洞。不過,若遭到不當使用,PoC 可能會在使用者尚未安裝修補程式時,為攻擊者提供系統漏洞利用的藍圖,進而造成潛在危害。

根據趨勢科技的研究報告,這類攻擊手法雖非首見,但由於特別鎖定了資安研究人員這群高度警覺的目標,並利用高風險漏洞進行攻擊,可能讓攻擊者取得重要情報,最終危及關鍵資安系統。因此,資安研究人員在下載和執行來自線上程式碼儲存庫的檔案時,必須保持高度警覺。建議應優先使用官方來源、詳細檢查儲存庫是否存在可疑內容,並確實驗證儲存庫擁有者或組織的真實性。

此外,針對活動量較低的儲存庫,更應密切關注社群反饋,並留意可能顯示潛在資安風險的警訊。這些防護措施對確保研究人員的資訊安全至關重要。

本文轉載自HACKREAD。