SecBoard
Zurück zur Übersicht

New ChocoPoC RAT Targets Vulnerability Researchers via Fake PoC Exploit Repos

The Hacker News·
Originalartikel lesen bei The Hacker News

Angreifer verbreiten den Datendiebstahl-Trojaner ChocoPoC über gefälschte Python-PoC-Exploit-Repositories auf GitHub. Ziel sind Sicherheitsforscher, die nach neuen CVEs suchen. Beim Ausführen stiehlt die Malware Passwörter, Browser-Cookies und Dateien und ermöglicht den Angreifern Shell-Zugriff. Sicherheitsforscher sollten bei PoC-Exploits auf GitHub äußerste Vorsicht walten lassen.

Kurzfassung

Ein neuer Datendiebstahl-Trojaner namens ChocoPoC wird über gefälschte Python-PoC-Exploit-Repositories auf GitHub verbreitet. Ziel sind Sicherheitsforscher, die nach neuen CVEs suchen. Beim Ausführen stiehlt die Malware Passwörter, Browser-Cookies und Dateien und ermöglicht den Angreifern Shell-Zugriff.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Sicherheitsforscher, die nach neuen CVEs suchen und PoC-Exploits von GitHub herunterladen und ausführen.

Warum relevant

Organisationen, die Sicherheitsforscher beschäftigen, könnten indirekt betroffen sein, wenn deren Arbeitsumgebungen kompromittiert werden, was zum Diebstahl sensibler Forschungsergebnisse oder Zugangsdaten führen kann.

Realistisches Worst Case

Kompromittierung der Arbeitsumgebung eines Sicherheitsforschers, Diebstahl von Zugangsdaten zu internen Systemen oder Forschungsergebnissen, und potenzieller Missbrauch des Shell-Zugriffs für weitere Angriffe innerhalb der Organisation.

Handlungsempfehlung

Sicherheitsforscher sollten die Legitimität von PoC-Repositories auf GitHub vor der Ausführung sorgfältig überprüfen und PoC-Exploits nur in isolierten, sandboxed Umgebungen ausführen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob Ihre Sicherheitsforscher Richtlinien zur Verifizierung von GitHub-Repositories und zur Ausführung von PoC-Exploits in isolierten Umgebungen befolgen.
  • Stellen Sie sicher, dass Endpunkterkennungssysteme (EDR) auf ungewöhnliche Prozessausführungen oder Datenexfiltration nach dem Start von Python-Skripten überwachen.
  • Überprüfen Sie die Netzwerkprotokolle auf verdächtige ausgehende Verbindungen von Workstations, die PoC-Exploits ausführen, insbesondere zu unbekannten C2-Servern.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighAngreifer verbreiten den Datendiebstahl-Trojaner ChocoPoC über gefälschte Python-PoC-Exploit-Repositories auf GitHub.
ExecutionT1059.006 Command and Scripting Interpreter: PythonHighgefälschte Python-PoC-Exploit-Repositories auf GitHub. Beim Ausführen stiehlt die Malware...
Credential AccessT1552 Unsecured CredentialsHighBeim Ausführen stiehlt die Malware Passwörter, Browser-Cookies und Dateien
CollectionT1119 Automated CollectionHighBeim Ausführen stiehlt die Malware Passwörter, Browser-Cookies und Dateien
Command and ControlT1071.001 Application Layer Protocol: Web ProtocolsLowermöglicht den Angreifern Shell-Zugriff.
Offene Punkte
  • Die spezifischen CVEs, die in den gefälschten PoC-Exploits angeblich ausgenutzt werden, sind nicht angegeben.
  • Die genauen Mechanismen des Datendiebstahls (z.B. welche Dateitypen gestohlen werden) sind nicht detailliert.
  • Die Infrastruktur der Angreifer (z.B. C2-Server-Adressen) ist nicht spezifiziert.
  • Die genaue Methode, wie der Shell-Zugriff etabliert wird, ist nicht beschrieben.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Ja
  • Exploit öffentlich verfügbar?Ja
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Ja

Kundenfragen

  • Können wir Resource Development detektieren?
  • Können wir Execution detektieren?

MITRE ATT&CK Kill Chain (3 Techniken)