Компания Cisco Talos сообщила о продолжающейся с января 2025 года кампании неустановленного злоумышленника, нацеленной на организации в Японии. Данная атака использует уязвимость CVE-2024-4577, представляющую собой уязвимость удаленного выполнения кода в реализации PHP-CGI для PHP в системах Windows.
Методы эксплуатации уязвимости
Используя уязвимость CVE-2024-4577, злоумышленник получает первоначальный доступ к компьютерам жертв. Затем он выполняет ряд действий после эксплуатации, используя плагины из набора инструментов Cobalt Strike, в частности версию, известную как «TaoWu».
После успешной эксплуатации злоумышленник запускает сценарий PowerShell, который инициирует обратное подключение к своему серверу управления (C2) с использованием Cobalt Strike. Это позволяет злоумышленнику:
- Собирать подробную системную информацию;
- Использовать эксплойты для повышения привилегий, такие как JuicyPotato, RottenPotato и SweetPotato;
- Обеспечивать постоянство путем изменения разделов реестра, создания запланированных задач и внедрения вредоносных служб с помощью плагинов Cobalt Strike.
Тактики сокрытия присутствия
Чтобы еще больше скрыть свое присутствие, злоумышленник удаляет журналы событий из системы жертвы с помощью утилиты wevtutil.exe. Он также проводит тщательную разведку сетевой среды, используя такие инструменты, как fscan.exe для отображения целей бокового перемещения и Seatbelt.exe для сбора данных, относящихся к безопасности.
Использование групповой политики и инструменты взлома
Злоумышленник использует объекты групповой политики, применяя SharpGPOAbuse.exe, для развертывания вредоносных сценариев PowerShell в сетях и использует команды Mimikatz для извлечения паролей и хэшей NTLM из памяти.
Расположение командных серверов
CVE-2024-4577 считается критически важным из-за возможностей удаленного выполнения кода, возникающих из-за неправильной обработки данных командной строки в установках PHP на базе Windows. Эксплойт-скрипт PHP-CGI_CVE-2024-4577_RCE.py проверяет уязвимые URL-адреса посредством отправки специально созданных POST-запросов. Если получен определенный ответ, это подтверждает уязвимость и позволяет злоумышленнику выполнить произвольный PHP-код.
Серверы C2, используемые злоумышленником, идентифицированы с IP-адресами 38.14.255.23 и 118.31.18.77, размещены в облаке Alibaba и настроены для хранения и выполнения различных вредоносных инструментов и скриптов.
Заключение
Примечательно, что злоумышленник использовал сценарий оболочки с именем LinuxEnvConfig.sh для настройки среды выполнения задач для нескольких дистрибутивов Linux, что облегчает развертывание различных уязвимых систем безопасности. Среди инструментов, замеченных в использовании, — Blue-Lotus и BeEF, которые позволяют контролировать компьютеры жертв через Интернет.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кибератака на японские организации: уязвимость CVE-2024-4577".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.