Специалисты компании Trend Micro выявили новую угрозу информационной безопасности: злоумышленники распространяют вредоносное ПО через поддельный эксплоит уязвимости CVE-2024-49113 (известной как LDAPNightmare) на платформе GitHub. Вредоносный код маскируется под легитимный proof-of-concept эксплоит, созданный компанией SafeBreach Labs в начале 2025 года.
Технический анализ вредоносной кампании
При загрузке малicious-репозитория жертва получает исполняемый файл poc.exe, упакованный с помощью UPX. После запуска вредоносный код инициирует многоступенчатую атаку: развертывает PowerShell-скрипт во временной директории, создает запланированное задание и загружает дополнительные компоненты с платформы Pastebin.
Функционал и цели вредоносного ПО
Основная задача малвари заключается в сборе конфиденциальной информации с зараженной системы. Инфостилер собирает следующие данные:
— Системную информацию
— Список активных процессов
— Структуру директорий
— Сетевые параметры и IP-адреса
— Данные об установленных обновлениях
Вся собранная информация архивируется и отправляется на удаленный FTP-сервер злоумышленников.
Контекст уязвимости LDAPNightmare
Уязвимость CVE-2024-49113 была устранена Microsoft в декабре 2024 года в рамках обновления безопасности Windows LDAP. Важно отметить, что данная уязвимость позволяет проводить только DoS-атаки, в отличие от более критической CVE-2024-49112, которая предоставляет возможность удаленного выполнения кода. Первоначальная путаница в идентификации уязвимостей привлекла повышенное внимание к LDAPNightmare, чем и воспользовались киберпреступники.
Рекомендации по безопасности
Эксперты Trend Micro рекомендуют следующие меры предосторожности:
— Использовать только проверенные источники эксплоитов от авторитетных компаний
— Проводить анализ кода перед его выполнением
— Проверять бинарные файлы через VirusTotal
— Избегать использования обфусцированного кода
— Своевременно устанавливать обновления безопасности
Данный инцидент подтверждает растущую тенденцию использования GitHub как платформы для распространения вредоносного ПО под видом легитимных инструментов безопасности. Организациям и специалистам по информационной безопасности необходимо проявлять повышенную бдительность при работе с публичными репозиториями и тщательно проверять загружаемые инструменты.
