Hacker

GitHub上でCVE-2024-49113(別名「LDAPNightmare」)の概念実証(PoC)エクスプロイトを偽装することで、ユーザーを情報窃取マルウェアに感染させ、機密データを外部のFTPサーバに流出させるという事件が発生した。

この手口は目新しいものではなく、GitHub上でPoCエクスプロイトを装った悪意のあるツールの事例が複数記録されています。

しかし、トレンドマイクロが発見した今回のケースは、脅威行為者がこの手口を使って、疑うことを知らないユーザーを騙してマルウェアに感染させ続けていることを浮き彫りにしています。

Malicious repository on GitHub
GitHub上の悪意のあるリポジトリ
Source:トレンドマイクロ

欺瞞的なエクスプロイト

トレンドマイクロの報告によると、悪意のあるGitHubリポジトリには、2025年1月1日に公開されたCVE-2024-49113に対するSafeBreach Labsの正規のPoCからフォークされたと思われるプロジェクトが含まれています。

この欠陥は、Windows Lightweight Directory Access Protocol(LDAP)に影響を与える2つの欠陥のうちの1つで、Microsoftは2024年12月のパッチチューズデーで修正し、もう1つはCVE-2024-49112として追跡されている重大なリモートコード実行(RCE)の問題です。

SafeBreachのPoCに関する最初のブログ投稿では、CVE-2024-49112と誤って記載されていたが、彼らのPoCはCVE-2024-49113に対するものであり、これはより深刻度の低いサービス拒否脆弱性である。

この間違いは、たとえ後で訂正されたとしても、LDAPNightmareとその攻撃の可能性について、より高い関心と話題を呼び起こすことになった。

悪意のあるリポジトリからPoCをダウンロードしたユーザーは、UPXがパックされた実行ファイル「poc.exe」を入手し、実行すると被害者の%Temp%フォルダにPowerShellスクリプトをドロップする。

このスクリプトは、感染したシステム上にスケジュールされたジョブを作成し、Pastebinから3つ目のスクリプトを取得するエンコードされたスクリプトを実行します。

この最終的なペイロードは、コンピュータ情報、プロセスリスト、ディレクトリリスト、IPアドレス、ネットワークアダプタ情報、およびインストールされたアップデートを収集し、ハードコードされた認証情報を使用して外部のFTPサーバにZIPアーカイブ形式でアップロードします。

Stealing data from the infected system
感染したシステムからデータを盗む
Source:トレンドマイクロ

この攻撃に関する侵害の指標の一覧は、こちらをご覧ください。

GitHubユーザーは、研究やテストのために公開されているエクスプロイトを入手する際には注意が必要であり、評判の良いサイバーセキュリティ企業や研究者のみを信頼することが理想的です。

脅威行為者は過去に有名なセキュリティ研究者になりすまそうとしたことがあるため、リポジトリの信頼性を確認することも非常に重要です。

可能であれば、自分のシステムで実行する前にコードを確認し、バイナリをVirusTotalにアップロードし、難読化されていると思われるものはスキップしてください。