黑客正在利用PHP中的一個(gè)嚴(yán)重安全漏洞來傳播加密貨幣挖礦軟件和遠(yuǎn)程訪問木馬（RAT），例如Quasar RAT。

該漏洞被分配了CVE標(biāo)識符CVE-2024-4577，涉及PHP在基于Windows的系統(tǒng)上以CGI模式運(yùn)行時(shí)的一個(gè)參數(shù)注入漏洞，可能導(dǎo)致遠(yuǎn)程攻擊者執(zhí)行任意代碼。

攻擊規(guī)模與地域分布

網(wǎng)絡(luò)安全公司Bitdefender表示，自去年年底以來，針對CVE-2024-4577的利用嘗試有所增加，主要集中在臺灣（54.65%）、香港（27.06%）、巴西（16.39%）、日本（1.57%）和印度（0.33%）。

攻擊手法與工具部署

檢測到的利用嘗試中，約15%涉及使用“whoami”和“echo <test_string>”等命令進(jìn)行基本漏洞檢查。另外15%圍繞系統(tǒng)偵察命令展開，例如進(jìn)程枚舉、網(wǎng)絡(luò)發(fā)現(xiàn)、用戶和域信息收集以及系統(tǒng)元數(shù)據(jù)搜集。

Bitdefender技術(shù)解決方案總監(jiān)Martin Zugec指出，至少約5%的檢測攻擊最終部署了XMRig加密貨幣挖礦軟件。Zugec補(bǔ)充道：“另一個(gè)較小的行動(dòng)涉及部署Nicehash挖礦軟件，這是一個(gè)允許用戶出售計(jì)算能力以換取加密貨幣的平臺。挖礦進(jìn)程偽裝成合法應(yīng)用程序，例如javawindows.exe，以逃避檢測?！?/p>

其他攻擊還利用該漏洞傳播遠(yuǎn)程訪問工具，如開源的Quasar RAT，并通過cmd.exe執(zhí)行托管在遠(yuǎn)程服務(wù)器上的惡意Windows安裝程序（MSI）文件。

防火墻配置修改的異常行為

有趣的是，這家羅馬尼亞公司還觀察到攻擊者嘗試修改易受攻擊服務(wù)器上的防火墻配置，目的是阻止與利用相關(guān)的已知惡意IP訪問。這種不尋常的行為引發(fā)了競爭對手的加密劫持團(tuán)伙爭奪對易受攻擊資源的控制權(quán)，并防止這些資源再次被針對的可能性。這也與歷史上關(guān)于加密劫持攻擊在部署自身有效載荷之前終止競爭對手挖礦進(jìn)程的觀察一致。

近期相關(guān)攻擊活動(dòng)

這一發(fā)現(xiàn)緊隨Cisco Talos披露的一項(xiàng)針對日本組織的攻擊活動(dòng)之后，該活動(dòng)自今年年初以來一直在利用PHP漏洞進(jìn)行攻擊。

防護(hù)建議

建議用戶將其PHP安裝更新到最新版本，以防止?jié)撛谕{。Zugec表示：“由于大多數(shù)攻擊活動(dòng)都在使用LOTL工具，組織應(yīng)考慮將環(huán)境中PowerShell等工具的使用限制為管理員等特權(quán)用戶?！?/p>