HackerNews 编译,转载请注明出处:
威胁行为者正在利用 PHP 中的一个严重安全漏洞来投放加密货币挖矿程序和远程访问木马(RAT),例如 Quasar RAT。
该漏洞被指派了 CVE 标识符 CVE-2024-4577,是指影响运行在 CGI 模式的 Windows 系统上的 PHP 的参数注入漏洞,可能允许远程攻击者运行任意代码。
网络安全公司 Bitdefender 表示,自去年年底以来,观察到针对 CVE-2024-4577 的利用尝试激增,其中中国台湾地区(54.65%)、中国香港地区(27.06%)、巴西(16.39%)、日本(1.57%)和印度(0.33%)的集中度较高。
大约 15% 的检测到的利用尝试涉及使用“whoami”和“echo <test_string>”等命令进行基本漏洞检查。另外 15% 围绕用于系统侦察的命令,例如进程枚举、网络发现、用户和域信息以及系统元数据收集。
Bitdefender 技术解决方案总监 Martin Zugec 指出,检测到的攻击中大约有 5% 最终部署了 XMRig 加密货币挖矿程序。
“另一个较小的活动涉及部署 Nicehash 挖矿程序,这是一个允许用户出售计算能力以换取加密货币的平台,”Zugec 补充道。“挖矿进程伪装成合法应用程序,例如 javawindows.exe,以逃避检测。”
PHP 漏洞用于部署 Quasar 远程访问木马
其他攻击被发现利用该漏洞交付开源的 Quasar RAT 等远程访问工具,以及使用 cmd.exe 执行托管在远程服务器上的恶意 Windows 安装程序(MSI)文件。
在某种程度上是一个有趣的变化,这家罗马尼亚公司还观察到试图修改易受攻击服务器上的防火墙配置,目的是阻止访问与漏洞利用相关的已知恶意 IP 地址。
这种不寻常的行为引发了竞争对手加密劫持集团为争夺易受攻击资源的控制权,并阻止他们再次针对自己控制的目标的可能性。这也与关于加密劫持攻击的历史观察结果一致,即在部署自己的有效载荷之前终止竞争对手的挖矿进程。
这一发展紧随思科 Talos 公布自今年年初以来针对日本组织的攻击中利用 PHP 漏洞的活动细节之后。
建议用户更新其 PHP 安装到最新版本以防范潜在威胁。
“由于大多数活动一直在使用 LOLBAS 工具,组织应考虑将 PowerShell 等工具的使用限制在环境中的特权用户(如管理员)内。”Zugec 说。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
