New ChocoPoC RAT Targets Vulnerability Researchers via Fake PoC Exploit Repos
Angreifer verbreiten den Datendiebstahl-Trojaner ChocoPoC über gefälschte Python-PoC-Exploit-Repositories auf GitHub. Ziel sind Sicherheitsforscher, die nach neuen CVEs suchen. Beim Ausführen stiehlt die Malware Passwörter, Browser-Cookies und Dateien und ermöglicht den Angreifern Shell-Zugriff. Sicherheitsforscher sollten bei PoC-Exploits auf GitHub äußerste Vorsicht walten lassen.
Ein neuer Datendiebstahl-Trojaner namens ChocoPoC wird über gefälschte Python-PoC-Exploit-Repositories auf GitHub verbreitet. Ziel sind Sicherheitsforscher, die nach neuen CVEs suchen. Beim Ausführen stiehlt die Malware Passwörter, Browser-Cookies und Dateien und ermöglicht den Angreifern Shell-Zugriff.
Sicherheitsforscher, die nach neuen CVEs suchen und PoC-Exploits von GitHub herunterladen und ausführen.
Organisationen, die Sicherheitsforscher beschäftigen, könnten indirekt betroffen sein, wenn deren Arbeitsumgebungen kompromittiert werden, was zum Diebstahl sensibler Forschungsergebnisse oder Zugangsdaten führen kann.
Kompromittierung der Arbeitsumgebung eines Sicherheitsforschers, Diebstahl von Zugangsdaten zu internen Systemen oder Forschungsergebnissen, und potenzieller Missbrauch des Shell-Zugriffs für weitere Angriffe innerhalb der Organisation.
Sicherheitsforscher sollten die Legitimität von PoC-Repositories auf GitHub vor der Ausführung sorgfältig überprüfen und PoC-Exploits nur in isolierten, sandboxed Umgebungen ausführen.
- ▸Überprüfen Sie, ob Ihre Sicherheitsforscher Richtlinien zur Verifizierung von GitHub-Repositories und zur Ausführung von PoC-Exploits in isolierten Umgebungen befolgen.
- ▸Stellen Sie sicher, dass Endpunkterkennungssysteme (EDR) auf ungewöhnliche Prozessausführungen oder Datenexfiltration nach dem Start von Python-Skripten überwachen.
- ▸Überprüfen Sie die Netzwerkprotokolle auf verdächtige ausgehende Verbindungen von Workstations, die PoC-Exploits ausführen, insbesondere zu unbekannten C2-Servern.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | High | Angreifer verbreiten den Datendiebstahl-Trojaner ChocoPoC über gefälschte Python-PoC-Exploit-Repositories auf GitHub. |
| Execution | T1059.006 Command and Scripting Interpreter: Python | High | gefälschte Python-PoC-Exploit-Repositories auf GitHub. Beim Ausführen stiehlt die Malware... |
| Credential Access | T1552 Unsecured Credentials | High | Beim Ausführen stiehlt die Malware Passwörter, Browser-Cookies und Dateien |
| Collection | T1119 Automated Collection | High | Beim Ausführen stiehlt die Malware Passwörter, Browser-Cookies und Dateien |
| Command and Control | T1071.001 Application Layer Protocol: Web Protocols | Low | ermöglicht den Angreifern Shell-Zugriff. |
- Die spezifischen CVEs, die in den gefälschten PoC-Exploits angeblich ausgenutzt werden, sind nicht angegeben.
- Die genauen Mechanismen des Datendiebstahls (z.B. welche Dateitypen gestohlen werden) sind nicht detailliert.
- Die Infrastruktur der Angreifer (z.B. C2-Server-Adressen) ist nicht spezifiziert.
- Die genaue Methode, wie der Shell-Zugriff etabliert wird, ist nicht beschrieben.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Ja
- Exploit öffentlich verfügbar?Ja
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Ja
Kundenfragen
- Können wir Resource Development detektieren?
- Können wir Execution detektieren?