Les chercheurs en cybersécurité et les acteurs de la menace sont ciblés par un faux exploit de preuve de concept (PoC) CVE-2023-35829 qui installe un logiciel malveillant de vol de mot de passe Linux.
Les analystes d’Uptycs ont découvert le PoC malveillant lors de leurs analyses de routine lorsque les systèmes de détection ont signalé des irrégularités telles que des connexions réseau inattendues, des tentatives d’accès non autorisées au système et des transferts de données atypiques.
Trois référentiels ont été trouvés hébergeant le faux exploit PoC malveillant, dont deux ont été supprimés de GitHub et le dernier est toujours actif.
Uptycs rapporte que le mauvais PoC a été largement partagé parmi les membres de la communauté de recherche en sécurité, de sorte que des infections peuvent exister sur un nombre important d’ordinateurs.
Détails PoC malveillants
Le faux PoC prétend être un exploit pour CVE-2023-35829, une faille d’utilisation après libération de haute gravité affectant le noyau Linux avant 6.3.2.
En réalité, cependant, le PoC est une copie d’un ancien exploit légitime pour une autre vulnérabilité du noyau Linux, CVE-2022-34918.
Le code tire parti des espaces de noms, une fonctionnalité Linux qui partitionne les ressources du noyau, pour donner l’impression qu’il s’agit d’un shell root, même si ses privilèges sont toujours limités dans l’espace de noms de l’utilisateur.
Ceci est fait pour renforcer l’illusion que l’exploit est authentique et fonctionne comme prévu, donnant aux attaquants plus de temps pour se déplacer librement sur le système compromis.
Au lancement, le PoC crée également un fichier ‘kworker’ et ajoute son chemin au fichier ‘/etc/bashrc’ pour la persistance.
Ensuite, il contacte le serveur C2 de l’attaquant pour télécharger et exécuter un script bash Linux à partir d’une URL externe.
Le script téléchargé accède au fichier ‘/etc/passwd’ pour voler des données précieuses du système, modifie le ‘~/.ssh/authorized_keys’ pour accorder à l’attaquant un accès à distance non autorisé au serveur, et utilise finalement curl pour exfiltrer les données via ‘ transfer.sh’.
Le script vole des données qui incluent le nom d’utilisateur, le nom d’hôte et le contenu du répertoire personnel de la victime. Cependant, comme la menace a désormais un accès à distance au serveur, elle peut voler ce qu’elle veut manuellement.
Le script bash déguise ses opérations en processus au niveau du noyau pour échapper à la détection, car les administrateurs système ont tendance à leur faire confiance et n’examinent généralement pas ces entrées.
Ne faites pas confiance au code d’exploitation
Uptycs suggère aux chercheurs qui ont téléchargé et utilisé le faux PoC de suivre les étapes suivantes :
- Supprimez toutes les clés ssh non autorisées
- Supprimer le fichier kworker
- Supprimer le chemin kworker du fichier bashrc
- Vérifiez /tmp/.iCE-unix.pid pour les menaces potentielles
Les PoC téléchargés sur Internet doivent être testés sur des environnements en bac à sable/isolés comme des machines virtuelles et, si possible, faire inspecter leur code avant exécution.
La soumission de fichiers binaires à VirusTotal est également un moyen simple et rapide d’identifier un fichier malveillant.
L’utilisation de faux PoC pour cibler les chercheurs et les acteurs de la menace avec des logiciels malveillants n’est pas nouvelle.
Le mois dernier, les analystes de VulnCheck ont découvert une campagne où les acteurs de la menace se sont fait passer pour de vrais chercheurs d’entreprises de cybersécurité de confiance pour pousser les logiciels malveillants se faisant passer pour des exploits du jour zéro pour Chrome, MS Exchange et Discord.
En octobre 2022, des chercheurs universitaires ont publié un article technique expliquant que jusqu’à 10,3 % de tous les PoC hébergés sur GitHub pourraient être des logiciels malveillants.
Les pirates nord-coréens Lazarus seraient également responsables d’une campagne de 2021 utilisant les médias sociaux pour cibler les chercheurs en vulnérabilité avec de faux PoC qui ont installé des portes dérobées.