PoCのようでPoCでない:続

ほぼこもセキュリティニュース By Terilogy Worx

先日、PoCとして配布されているけれどもPoCでなくてマルウェアを展開するという話がありました。
このパターン、また、でました。

  • CVE-2023-35829
    もともとのCVE-2023-35829は、Linuxカーネルにあるuse-after-freeの問題です。
    これを概念実証するということで配布されているPoCがあります。
    PoCコードにはいくつかの実装があることと思いますが、そのなかに、PoCでないものが含まれています。
    PoCでないPoCコードは、配布形式や実行時の出力内容はいかにも本物であるかのように良くできています。
    しかし、実際の目的はマルウェアです。
    バックドア型のマルウェアとなっていて、データ盗難機能を持っています。
    sshキーを追加することによって自由に接続してshellアクセスすることができるようにする機能も持ちます。
  • CVE-2023-20871
    もともとのCVE-2023-20871は、VMware Fusionのローカルの特権昇格の問題です。
    これを概念実証するということで配布されているPoCがあります。
    配布時の形式や内容はCVE-2023-35829と同じです。
    こちらもPoCコードとして配布されていますが、実際の中身はマルウェアです。

PoCのようでPoCでない、の続編です。
この戦略をとるマルウェアが一つのジャンルになってきている感じがします。
PoCコードの取り扱いには、十分な注意が必要といえそうです。

参考記事(外部リンク):PoC Exploit: Fake Proof of Concept with Backdoor Malware
www.uptycs.com/blog/new-poc-exploit-backdoor-malware

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。