PoCのようでPoCでない：続

先日、PoCとして配布されているけれどもPoCでなくてマルウェアを展開するという話がありました。
このパターン、また、でました。

• CVE-2023-35829
  もともとのCVE-2023-35829は、Linuxカーネルにあるuse-after-freeの問題です。
  これを概念実証するということで配布されているPoCがあります。
  PoCコードにはいくつかの実装があることと思いますが、そのなかに、PoCでないものが含まれています。
  PoCでないPoCコードは、配布形式や実行時の出力内容はいかにも本物であるかのように良くできています。
  しかし、実際の目的はマルウェアです。
  バックドア型のマルウェアとなっていて、データ盗難機能を持っています。
  sshキーを追加することによって自由に接続してshellアクセスすることができるようにする機能も持ちます。
• CVE-2023-20871
  もともとのCVE-2023-20871は、VMware Fusionのローカルの特権昇格の問題です。
  これを概念実証するということで配布されているPoCがあります。
  配布時の形式や内容はCVE-2023-35829と同じです。
  こちらもPoCコードとして配布されていますが、実際の中身はマルウェアです。

PoCのようでPoCでない、の続編です。
この戦略をとるマルウェアが一つのジャンルになってきている感じがします。
PoCコードの取り扱いには、十分な注意が必要といえそうです。

参考記事（外部リンク）：PoC Exploit: Fake Proof of Concept with Backdoor Malware
www.uptycs.com/blog/new-poc-exploit-backdoor-malware