Атака на исследователей: псевдоэксплойт для regreSSHion

Злоумышленники охотятся на экспертов по безопасности, используя архив, якобы содержащий эксплойт для уязвимости regreSSHion.

Псевдоэксплойт CVE-2024-6387 aka regreSSHion

В социальной сети X (ранее известной как Twitter) распространяется архив с вредоносным кодом под видом эксплойта для недавно обнаруженной уязвимости CVE-2024-6387 (regreSSHion). По мнению наших экспертов, это попытка атаки на специалистов по кибербезопасности. Рассказываем, что на самом деле находится в архиве, и как злоумышленники пытаются заманить исследователей в ловушку.

Сопровождающая архив легенда

Предположительно, существует некий сервер, на котором имеется рабочий эксплойт для уязвимости CVE-2024-6387 в OpenSSH. Более того, этот сервер активно применяет этот эксплойт для атак по целому списку IP-адресов. В архиве, предлагаемом любому желающему исследовать эту атаку, якобы находится рабочий эксплойт, список IP-адресов и некая полезная нагрузка.

Содержимое вредоносного архива

На самом деле, в архиве имеется некий исходный код, набор вредоносных бинарных файлов и скриптов. Исходный код очень похож на несколько подредактированную версию неработающего доказательства работоспособности этой уязвимости (PoC, Proof of Concept), которое ранее уже встречалось в свободном доступе.

Один из скриптов, написанный на Python, имитирует эксплуатацию уязвимости на серверах, расположенных по IP-адресам из имеющегося списка. В реальности, он запускает вредоносный файл exploit — зловред, служащий для закрепления в системе и скачивания полезной нагрузки с удаленного сервера. Вредоносный код сохраняется в файле в директории /etc/cron.hourly. А для закрепления в системе он модифицирует файл ls и записывает в него свою копию, повторяющую выполнение вредоносного кода при каждом запуске.

Как оставаться в безопасности

По всей видимости, авторы атаки рассчитывают на то, что, работая с заведомо вредоносным кодом, исследователи отключат защитные решения и сфокусируются на анализе обмена данными между зловредом и уязвимым к CVE-2024-6387 сервером. А в это время совершенно другой вредоносный код будет использован для компрометации компьютеров исследователей.

Поэтому мы напоминаем всем ИБ-экспертам и прочим любителям проанализировать подозрительный код не работать со зловредами вне специально подготовленной изолированной среды, из которой недоступна внешняя инфраструктура.

Продукты «Лаборатории Касперского» детектируют элементы этой атаки c вердиктами:

  • UDS:Trojan-Downloader.Shell.FakeChecker.a
  • UDS:Trojan.Python.FakeChecker.a
  • HEUR:Trojan.Linux.Agent.gen
  • Virus.Linux.Lamer.b
  • HEUR:DoS.Linux.Agent.dt

Что же касается уязвимости regreSSHion, то, как мы и писали раньше, ее практическая эксплуатация сопряжена с большими трудностями.

Советы