一个被追踪为 UAT-5918 的高技能威胁行为者，被观察到正在积极利用多个组织中未修补的 Web 和应用服务器上的已知漏洞。

这场始于 2025 年初的攻击活动，主要针对运行过时版本 Apache、Nginx 和 Tomcat 服务器的基础设施。

安全研究人员在过去两周内检测到此类利用尝试显著增加，攻击者利用的是那些已有补丁但在易受攻击系统上尚未部署的漏洞。

攻击者专门针对 CVE-2024-4321 和 CVE-2024-5879，这两个都是中等到高严重程度的漏洞，可在受影响的系统上实现远程代码执行和权限提升。

金融服务、医疗保健和关键基础设施领域的组织在这场攻击活动中受到的攻击尤为严重，攻击者在成功利用漏洞后会部署定制恶意软件。

Cisco  Talos 的研究人员确定，UAT-5918 组织采用了一种多阶段攻击方法，首先扫描易受攻击的实例，然后根据检测到的特定服务器版本部署量身定制的攻击代码。

他们的分析显示，攻击者使用分布在多个地理区域的命令与控制基础设施来逃避检测并保持持久存在。

利用链条通常从探测请求开始，以识别服务器类型和版本。

一旦发现易受攻击的系统，攻击者就会注入恶意有效载荷，创建一个可继续访问的后门。

被攻陷的服务器随后被用作在网络内横向移动、建立持久控制和窃取敏感数据的切入点。

安全团队报告称，尽管已有可用补丁数月，但全球仍有超过 1.2 万台服务器易受这些攻击，这凸显了各组织在及时进行补丁管理方面持续面临的挑战。

利用细节

攻击代码针对服务器应用处理程序中的内存损坏漏洞。

对于 Apache 服务器，攻击利用了 mod_proxy 模块中的一个缺陷，攻击序列如下：

def exploit_apache_cve_2024_4321(target_ip, target_port):

payload = b”POST /proxy/admin HTTP/1.1\r\n”

payload += b”Host: ” + target_ip.encode() + b”\r\n”

payload += b”Content-Length: 1024\r\n”

payload += b”Content-Type: application/x-www-form-urlencoded\r\n\r\n”

payload += b”A” * 456 + struct.pack(“

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

s.connect((target_ip, target_port))

s.send(payload)

response = s.recv(1024)

return response

攻击者还使用一个定制框架，可在多个易受攻击的服务上自动进行攻击利用。

对命令与控制流量的分析显示，数据通过加密通道被窃取到主要位于东欧和东南亚的服务器上。

强烈建议各组织立即应用可用的安全补丁，并针对与 UAT – 5918 特征匹配的可疑流量模式实施网络监控。