Стилер маскируется под PoC-эксплойт для LDAPNightmare (CVE-2024-49113).
❗️ В рамках "Patch Tuesday" от Microsoft в декабре 2024 года были устранены две уязвимости в протоколе LDAP. Обе были признаны очень серьёзными из-за широкого использования LDAP в средах Windows: ⏺️CVE-2024-49112: уязвимость удаленного выполнения кода (RCE), которой могут воспользоваться злоумышленники, отправляя специально составленные запросы LDAP. ⏺️CVE-2024-49113: уязвимость типа «отказ в обслуживании» (DoS), которая может быть использована для сбоя службы LDAP.
💱 Злоумышленники создали вредоносный репозиторий, демонстрирующий доказательство концепции CVE-2024-49113. Вероятно, он является ответвлением от исходного репозитория, но исходные файлы Python были заменены исполняемым файлом poc.exe, который был упакован с помощью UPX. Хотя на первый взгляд репозиторий выглядит нормально, наличие исполняемого файла вызывает подозрения из-за его неожиданного присутствия в проекте на Python.
✏️ Когда пользователь запускает файл, в папку %Temp% помещается и выполняется сценарий PowerShell. Это создаёт запланированное задание, которое, в свою очередь, выполняет закодированный сценарий, который загружает другой скрипт с Pastebin. Далее он собирает общедоступный IP-адрес компьютера жертвы и загружает его с помощью FTP. Затем следующая информация собирается и сжимается с помощью ZIP, после чего загружается на внешний FTP-сервер с использованием жестко заданных учетных данных.
🛡 Для защиты от попадания в такие ситуации следует быть осторожным с репозиториями у которых мало stars, forks, contributors. Так же необходимо просматривать историю коммитов и изменения в репозитории на признаки вредоносной активности.
Стилер маскируется под PoC-эксплойт для LDAPNightmare (CVE-2024-49113).
❗️ В рамках "Patch Tuesday" от Microsoft в декабре 2024 года были устранены две уязвимости в протоколе LDAP. Обе были признаны очень серьёзными из-за широкого использования LDAP в средах Windows: ⏺️CVE-2024-49112: уязвимость удаленного выполнения кода (RCE), которой могут воспользоваться злоумышленники, отправляя специально составленные запросы LDAP. ⏺️CVE-2024-49113: уязвимость типа «отказ в обслуживании» (DoS), которая может быть использована для сбоя службы LDAP.
💱 Злоумышленники создали вредоносный репозиторий, демонстрирующий доказательство концепции CVE-2024-49113. Вероятно, он является ответвлением от исходного репозитория, но исходные файлы Python были заменены исполняемым файлом poc.exe, который был упакован с помощью UPX. Хотя на первый взгляд репозиторий выглядит нормально, наличие исполняемого файла вызывает подозрения из-за его неожиданного присутствия в проекте на Python.
✏️ Когда пользователь запускает файл, в папку %Temp% помещается и выполняется сценарий PowerShell. Это создаёт запланированное задание, которое, в свою очередь, выполняет закодированный сценарий, который загружает другой скрипт с Pastebin. Далее он собирает общедоступный IP-адрес компьютера жертвы и загружает его с помощью FTP. Затем следующая информация собирается и сжимается с помощью ZIP, после чего загружается на внешний FTP-сервер с использованием жестко заданных учетных данных.
🛡 Для защиты от попадания в такие ситуации следует быть осторожным с репозиториями у которых мало stars, forks, contributors. Так же необходимо просматривать историю коммитов и изменения в репозитории на признаки вредоносной активности.
The optimal dimension of the avatar on Telegram is 512px by 512px, and it’s recommended to use PNG format to deliver an unpixelated avatar. With the “Bear Market Screaming Therapy Group,” we’ve now transcended language. Private channels are only accessible to subscribers and don’t appear in public searches. To join a private channel, you need to receive a link from the owner (administrator). A private channel is an excellent solution for companies and teams. You can also use this type of channel to write down personal notes, reflections, etc. By the way, you can make your private channel public at any moment. How to Create a Private or Public Channel on Telegram? To delete a channel with over 1,000 subscribers, you need to contact user support
from us
