ఫేక్ విండోస్ LDAP ఎక్స్‌ప్లోయిట్ ట్రాప్స్ ద్వారా ఆకర్షించబడిన భద్రతా నిపుణులు

భద్రతా పరిశోధకులు మరోసారి దాడి చేసేవారి ఉచ్చులలో చిక్కుకుంటున్నారు, ఈసారి తీవ్రమైన మైక్రోసాఫ్ట్ భద్రతా లోపాల యొక్క నకిలీ దోపిడీలతో.

Trend Micro LDAPNightmare కోసం చట్టబద్ధమైన ప్రూఫ్-ఆఫ్-కాన్సెప్ట్ (PoC) దోపిడీకి ఫోర్క్‌గా కనిపించే దాన్ని గుర్తించింది, మొదట ప్రచురించింది సేఫ్‌బ్రీచ్ లాబొరేటరీస్ జనవరి 1 న. కానీ “ఫోర్క్డ్” దోపిడీ PoC వాస్తవానికి సమాచారాన్ని దొంగిలించే మాల్వేర్ యొక్క డౌన్‌లోడ్ మరియు అమలుకు దారి తీస్తుంది.

LDAPNightmare అనేది CVE-2024-49113 కోసం PoC పేరు, ఇది మైక్రోసాఫ్ట్‌లో పరిష్కరించబడిన LDAPలో సర్వీస్ బగ్ యొక్క తీవ్రత 7.5 తిరస్కరణ డిసెంబర్ ప్యాచ్ మంగళవారం.

ఇది రెండు LDAP బగ్‌లలో ఒకటి – మరొకటి క్లిష్టమైన CVE-2024-49112 – మైక్రోసాఫ్ట్ యొక్క చివరి 2024 అప్‌డేట్‌లలో ప్రసంగించారు, “LDAPని విస్తృతంగా ఉపయోగించడం వల్ల రెండు దుర్బలత్వాలు చాలా ముఖ్యమైనవిగా పరిగణించబడ్డాయి. విండోస్ ఎన్విరాన్‌మెంట్స్” మరియు అందువల్ల డిఫెండర్‌లకు చాలా ఆసక్తిని కలిగిస్తుంది.

నకిలీ PoCలో, చట్టబద్ధమైన సంస్కరణ యొక్క పైథాన్ ఫైల్‌లు “poc.exe” అనే ఎక్జిక్యూటబుల్‌తో భర్తీ చేయబడ్డాయి. వినియోగదారు దీన్ని అమలు చేస్తే, అది పవర్‌షెల్ స్క్రిప్ట్‌ను వదిలివేస్తుంది, అది వినియోగదారు నుండి వివిధ డేటా పాయింట్‌లను సేకరిస్తూ మరొక పేస్ట్‌బిన్ స్క్రిప్ట్‌ను డౌన్‌లోడ్ చేసి అమలు చేస్తుంది.

దొంగిలించబడిన డేటాలో ఇవి ఉన్నాయి:

• వినియోగదారు PC గురించి సమాచారం

• ప్రక్రియ జాబితా

• డైరెక్టరీ జాబితాలు (డౌన్‌లోడ్‌లు, ఇటీవలి, పత్రాలు మరియు డెస్క్‌టాప్)

• నెట్‌వర్క్ IPలు

• నెట్‌వర్క్ ఎడాప్టర్‌లు

• అప్‌డేట్‌లు ఇన్‌స్టాల్ చేయబడ్డాయి

అనుభవజ్ఞులైన పరిశోధకులకు, పైథాన్ ప్రాజెక్ట్‌లో ఎక్జిక్యూటబుల్ ఉన్నందున, బైటింగ్ పథకం అనుమానాలను పెంచుతుందని కామిలింగ్ గుర్తించారు. పొరపాటున ఎవరైనా పడిపోయారా అనేది ఆమె పేర్కొనలేదు.

“మాల్‌వేర్ డెలివరీ కోసం PoC బైట్‌లను వాహనంగా ఉపయోగించడం కొత్తది కానప్పటికీ, ఈ దాడి ఇప్పటికీ ముఖ్యమైన ఆందోళనలను కలిగిస్తుంది, ప్రత్యేకించి ఎక్కువ సంఖ్యలో బాధితులను ప్రభావితం చేసే ట్రెండింగ్ సమస్యపై ఇది పెట్టుబడి పెట్టింది,” ఆమె చెప్పింది. బ్లాగ్ చేసారు.

CVE-2024-49112, డిసెంబరులో పాచ్ చేయబడిన రెండు LDAP దుర్బలత్వాలలో మరింత తీవ్రమైనది, 72-ప్యాచ్ ప్యాకేజీలో అత్యధిక తీవ్రత స్కోర్ (9.8)ని అందుకుంది, మరియు అసోసియేషన్ ద్వారా CVE-2024-49113, భద్రతా నిపుణుల కోసం గుర్తించదగినది. మరియు సిస్టమ్స్ అడ్మినిస్ట్రేటర్లు.

పరిశోధకులను వారి స్వంత ఆటలో ఓడించడానికి చేసిన అనేక ప్రయత్నాలలో ఇది తాజాది. అనేక సందర్భాల్లో, ఉత్తర కొరియా దాడి చేసేవారు అనేక రకాల వ్యూహాలను ఉపయోగించి భద్రతా పరిశోధకులను లక్ష్యంగా చేసుకోవడానికి ప్రయత్నించారు.

ఉదాహరణకు, Google యొక్క థ్రెట్ అనాలిసిస్ గ్రూప్ (TAG) 2021 నివేదికలో రాష్ట్ర-ప్రాయోజిత నేరస్థులు కొత్త దుర్బలత్వాలపై పని చేసే వారిపై హ్యాక్ చేయడానికి మరియు గూఢచర్యం చేయడానికి జీరో డేస్‌ను కూడా బర్న్ చేస్తున్నారని పేర్కొంది.

ఫాస్ట్7 అని పిలిచారు ఇది సోనిక్‌వాల్, VMware, మైమ్‌కాస్ట్, మాల్‌వేర్‌బైట్స్, మైక్రోసాఫ్ట్, క్రౌడ్‌స్ట్రైక్ మరియు సోలార్‌విండ్స్ వంటి ప్రధాన విక్రేతల నుండి నిపుణులను లక్ష్యంగా చేసుకుని ఇతరులను అనుసరించిన “అత్యంత అధునాతన దాడి”.

బాధితుల్లో ఒకరైన అలెజాండ్రో కాసెరెస్, హైపెరియన్ గ్రే వ్యవస్థాపకుడు లెక్కించారు ది రికార్డ్ అతను ఉత్తర కొరియా చేత స్వాధీనం చేసుకున్నట్లు అతను గ్రహించిన “పవిత్రమైన” క్షణం గురించి.

పరీక్ష గురించి కాసెరెస్ ఖాతా ప్రకారం, జేమ్స్ విల్లీ అనే పేరును ఉపయోగించి ఎవరైనా జీరో-డే దుర్బలత్వంపై కలిసి పనిచేయడం గురించి సోషల్ మీడియాలో అతనిని సంప్రదించారు మరియు ఒక విశ్లేషణ సమర్పించిన తర్వాత మాత్రమే పంపిన విజువల్ స్టూడియో ప్రాజెక్ట్ బ్యాక్‌డోర్ అని అతను గ్రహించాడు.

అతను ఇలా అన్నాడు: “నేను గూగుల్ విషయం చదివినప్పుడు, నేను బిగ్గరగా ‘హోలీ షిట్’ అని చెప్పాను అని నేను నిజాయితీగా అనుకుంటున్నాను, నేను పిచ్చిగా భావించాను. ఒక దేశ రాజ్య దాడి చేశారా? నేను!?”

కిమ్ యొక్క మోసపూరిత దాడి చేసేవారు తిరిగి 2023లో కూడా, మళ్లీ సోషల్ మీడియా మోసాన్ని ఉపయోగించడం మరియు లక్ష్యం యొక్క PC గురించి సమాచారాన్ని తిరిగి బేస్‌కి ప్రసారం చేయడానికి ప్రముఖ సాఫ్ట్‌వేర్‌లో జీరో-డేలను బర్న్ చేయడం.

వారు GitHubలో చట్టబద్ధమైన Windows డీబగ్గింగ్ సాధనంగా కనిపించిన దానిని కూడా హోస్ట్ చేసారు, ఇది అనుమానాస్పద వినియోగదారుల మెషీన్‌లపై హానికరమైన కోడ్‌ను అమలు చేయడానికి వాహనంగా పనిచేసింది. ®