Дослідники з компанії Trend Micro виявили нову серйозну кіберзагрозу – зловмисники активно поширюють шкідливе програмне забезпечення через підроблений експлойт уразливості CVE-2024-49113 (відомої як LDAPNightmare) на платформі GitHub. Шкідливий код майстерно замаскований під легітимний proof-of-concept експлойт, який був розроблений спеціалістами SafeBreach Labs на початку 2025 року.
Механізм роботи шкідливого ПЗ
Після завантаження з шкідливого репозиторію, жертва отримує виконуваний файл poc.exe, упакований за допомогою UPX. При запуску програма ініціює складну багатоетапну атаку: розгортає PowerShell-скрипт у тимчасовій директорії, створює заплановане завдання та завантажує додаткові компоненти з платформи Pastebin. Такий підхід дозволяє зловмисникам обходити базові механізми захисту та ускладнює виявлення шкідливої активності.
Збір конфіденційних даних та передача інформації
Основною метою шкідливого ПЗ є збір конфіденційної інформації із зараженої системи. Інфостілер систематично збирає широкий спектр даних, включаючи системну інформацію, список активних процесів, структуру директорій, мережеві параметри, IP-адреси та дані про встановлені оновлення. Вся зібрана інформація автоматично архівується та передається на віддалений FTP-сервер зловмисників.
Особливості уразливості LDAPNightmare
Уразливість CVE-2024-49113 була виправлена Microsoft у грудні 2024 року в рамках оновлення безпеки Windows LDAP. Важливо розуміти, що дана уразливість обмежується можливістю проведення DoS-атак, на відміну від більш критичної CVE-2024-49112, яка дозволяє віддалене виконання коду. Зловмисники скористалися підвищеною увагою до LDAPNightmare через початкову плутанину в ідентифікації уразливостей.
Рекомендації щодо захисту
Для захисту від подібних атак експерти Trend Micro рекомендують:
– Використовувати виключно перевірені джерела експлойтів від авторитетних компаній
– Проводити ретельний аналіз коду перед його виконанням
– Перевіряти бінарні файли через сервіс VirusTotal
– Уникати використання обфускованого коду
– Своєчасно встановлювати оновлення безпеки
Цей інцидент яскраво демонструє зростаючу тенденцію використання платформи GitHub для поширення шкідливого ПЗ під виглядом легітимних інструментів безпеки. Організаціям та фахівцям з інформаційної безпеки необхідно проявляти особливу пильність при роботі з публічними репозиторіями та ретельно перевіряти всі завантажувані інструменти. Впровадження багаторівневої системи захисту та дотримання базових правил кібергігієни допоможе мінімізувати ризики зараження шкідливим ПЗ.
