Un faux exploit pour LDAP Nightmare circule sur GitHub : il contient un malware infostealer !
Ceux qui cherchent à mettre la main sur un code d'exploitation PoC pour l'attaque LDAP Nightmare, pourrait bien avoir une mauvaise surprise : un exploit PoC malveillant circule sur GitHub ! Il cache un malware de type infostealer. Voici ce qu'il faut savoir.
Pour rappel, l'attaque LDAP Nightmare correspond à la CVE-2024-49113 corrigée par Microsoft le 10 décembre 2024. Cette vulnérabilité peut être exploitée à distance, en tant que faille zero-click, pour cibler les machines Windows puisqu'aucune intervention de l'utilisateur n'est requise.
Ce cas découvert par les chercheurs en sécurité de chez Trend Micro met en avant une tactique qui n'est pas nouvelle. En effet, de nombreux cas d'outils malveillants déguisés en exploits PoC ont été documentés ces dernières années.
Initialement, un exploit PoC a été publié sur GitHub par les chercheurs en sécurité de chez SafeBreach Labs. Il ne contient aucun code malveillant. Mais, comme l'expliquent l'équipe de Trend Micro, un pirate en a créé un fork destiné à délivrer un logiciel malveillant.
"Dans ce cas, les fichiers Python d'origine ont été remplacés par l'exécutable poc.exe qui a été emballé à l'aide d'UPX. Bien que le dépôt semble normal à première vue, la présence de l'exécutable éveille les soupçons en raison de sa présence inattendue dans un projet basé sur Python.", peut-on lire dans le rapport.
Voici un aperçu de ce dépôt GitHub :
Quelles sont les actions effectuées par le logiciel malveillant ?
Lorsque l'exécutable est lancé sur une machine, cela déclenche un ensemble d'actions, notamment à l'aide de PowerShell. En effet, un script PowerShell est exécuté dans le but de télécharger un autre script, lui aussi écrit en PowerShell, depuis Pastebin.
Ensuite, le logiciel malveillant va collecter des informations sur la machine de la victime, et en faire une archive ZIP. Elle sera ensuite envoyée sur un serveur FTP distant contrôlé par le pirate, où l'authentification sera effectuée à l'aide d'identifiants codés en dur. D'après l'analyse de Trend Micro, voici les informations collectées :
- Toutes les adresses IP, y compris l'adresse IP publique
- Informations sur l'ordinateur
- Liste des processus
- Listes des répertoires (dans Téléchargements, Récents, Documents et Bureau)
- Les adaptateurs réseau
- Les mises à jour installées
La liste des indicateurs de compromission, notamment les adresses des serveurs FTP et vers le code Pastebin, sont disponibles sur cette page. Le malware effectue une reconnaissance de l'environnement, sans pour autant extraire des données. Le rapport de Trend Micro ne précise pas si l'attaquant peut exécuter des commandes à distance sur la machine infectée.
Cette campagne malveillante montre l'importance de toujours télécharger du code à partir de dépôts officiels et fiables.
