SecBoard
Zurück zur Übersicht

ChocoPoc malware delivered via trojanized exploits on GitHub

BleepingComputer·
Originalartikel lesen bei BleepingComputer

Eine neue Python-basierte Malware namens ChocoPoc wird über manipulierte Proof-of-Concept-Exploits auf GitHub verbreitet. Sie betrifft Nutzer, die diese Exploits herunterladen, und ermöglicht Angreifern die Ausführung von Befehlen sowie den Diebstahl sensibler Daten. Nutzern wird dringend empfohlen, die Herkunft und Integrität von GitHub-Exploits genau zu prüfen.

Kurzfassung

Eine neue Python-basierte Malware namens ChocoPoc wird über manipulierte Proof-of-Concept-Exploits auf GitHub verbreitet. Nutzer, die diese trojanisierten Exploits herunterladen, sind betroffen. Die Malware ermöglicht Angreifern die Ausführung von Befehlen und den Diebstahl sensibler Daten.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Nutzer, die manipulierte Proof-of-Concept-Exploits von GitHub heruntergeladen haben.

Warum relevant

Organisationen, deren Entwickler oder Sicherheitsforscher Exploits von GitHub beziehen, könnten durch die Ausführung dieser manipulierten Dateien kompromittiert werden. Dies kann zur Ausführung beliebiger Befehle und zum Diebstahl sensibler Daten führen.

Realistisches Worst Case

Ein Angreifer erlangt vollständige Kontrolle über ein System, auf dem ein manipulierter Exploit ausgeführt wurde, und stiehlt kritische Unternehmensdaten oder führt weitere Angriffe innerhalb des Netzwerks aus.

Handlungsempfehlung

Überprüfen Sie die Herkunft und Integrität aller von GitHub heruntergeladenen Exploits und Skripte, insbesondere Proof-of-Concept-Code, bevor Sie ihn ausführen. Nutzen Sie Sandboxing und Code-Reviews.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob in Ihrer Organisation Skripte oder Exploits von GitHub heruntergeladen und ausgeführt werden, ohne vorherige Integritätsprüfung.
  • Scannen Sie Systeme, auf denen kürzlich GitHub-Exploits ausgeführt wurden, auf Anzeichen von ChocoPoc-Malware oder ungewöhnliche Netzwerkaktivitäten.
  • Stellen Sie sicher, dass Endpoint Detection and Response (EDR)-Lösungen die Ausführung von Python-Skripten überwachen und verdächtige Aktivitäten erkennen können.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1195 Supply Chain CompromiseHighEine neue Python-basierte Malware namens ChocoPoc wird über manipulierte Proof-of-Concept-Exploits auf GitHub verbreitet.
ExecutionT1059.006 Command and Scripting Interpreter: PythonHighEine neue Python-basierte Malware namens ChocoPoc wird über manipulierte Proof-of-Concept-Exploits auf GitHub verbreitet.
Command and ControlT1071.001 Application Layer Protocol: Web ProtocolsLowermöglicht Angreifern die Ausführung von Befehlen
ExfiltrationT1041 Exfiltration Over C2 ChannelLowsowie den Diebstahl sensibler Daten.
Offene Punkte
  • Die spezifischen Kommunikationsprotokolle, die ChocoPoc für Command and Control verwendet, sind nicht angegeben.
  • Die genauen Arten der gestohlenen 'sensiblen Daten' sind nicht spezifiziert.
  • Es werden keine spezifischen Indikatoren für Kompromittierung (IOCs) wie Hashes oder C2-Server genannt.
  • Es werden keine spezifischen betroffenen Branchen oder geografischen Regionen genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Ja
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Ja

Kundenfragen

  • Können wir Resource Development detektieren?
  • Können wir Execution detektieren?

MITRE ATT&CK Kill Chain (5 Techniken)

Themen
Security