🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Tin tặc giả mạo các nhà nghiên cứu bảo mật để chia sẻ PoC độc hại trên GitHub nhằm phát tán mã độc

16/06/2023

Phát hiện nhiều tài khoản đáng ngờ, trong đó có ít nhất một nửa số tài khoản từ các nhà nghiên cứu giả mạo liên kết với một công ty bảo mật không có thật đã tải lên các kho lưu trữ độc hại trên GitHub.

Tất cả bảy kho lưu trữ đều có mô tả là mã khai thác (PoC) cho các lỗ hổng zero-day trong Discord, Google Chrome và Microsoft Exchange Server.

Trên thực tế, PoC này là một tập lệnh Python được thiết kế để tải xuống tệp nhị phân độc hại và thực thi nó trên hệ điều hành của nạn nhân, có thể là Windows hoặc Linux.

VulnCheck, công ty bảo mật đã phát hiện ra hoạt động này, cho biết, "những kẻ tạo ra các kho lưu trữ này đã cố gắng làm cho nó trông có vẻ hợp pháp bằng cách tạo ra một mạng lưới các tài khoản và hồ sơ Twitter, giả vờ là liên kết với một công ty bảo mật không có thật có tên là High Sierra Cyber ​​Security".

Bên cạnh việc chia sẻ một số phát hiện trên Twitter nhằm cố gắng xây dựng tính hợp pháp, nhóm tài khoản còn sử dụng ảnh chân dung của các nhà nghiên cứu bảo mật từ các công ty như Rapid7, điều này cho thấy các tác nhân đe dọa đã nỗ lực rất nhiều để thực hiện chiến dịch.

VulnCheck lần đầu tiên phát hiện ra các kho lưu trữ giả mạo vào đầu tháng 5 khi họ phát hành các PoC tương tự cho các lỗi zero-day trong Signal và WhatsApp. Hai kho lưu trữ đã bị gỡ xuống.

Hiện chưa rõ kẻ đứng sau hành động này là một tác nhân đe dọa mới hay một nhóm đe dọa nâng cao (APT). Tuy nhiên, các nhà nghiên cứu bảo mật trước đây đã từng bị nhắm mục tiêu bởi các nhóm đe dọa do Triều Tiên hậu thuẫn, theo tiết lộ của Google vào tháng 1 năm 2021.

Những phát hiện này cho thấy sự cần thiết của việc phải thận trọng khi tải xuống mã (code) từ các kho lưu trữ nguồn mở. Một điều quan trọng khác là người dùng phải xem xét kỹ lưỡng mã trước khi thực thi để đảm bảo chúng không gây ra bất kỳ rủi ro bảo mật nào.

Dưới đây là danh sách các kho lưu trữ GitHub và tài khoản Twitter giả mạo đã được phát hiện.

- github.com/AKuzmanHSCS/Microsoft-Exchange-RCE

- github.com/BAdithyaHSCS/Exchange-0-Day

- github.com/DLandonHSCS/Discord-RCE

- github.com/GSandersonHSCS/discord-0-day-fix

- github.com/MHadzicHSCS/Chrome-0-day

- github.com/RShahHSCS/Discord-0-Day-Exploit

- github.com/SsankkarHSCS/Chromium-0-Day

- twitter.com/AKuzmanHSCS

- twitter.com/DLandonHSCS

- twitter.com/GSandersonHSCS

- twitter.com/MHadzicHSCS

Nguồn: thehackernews.com.

scrolltop