Các tác nhân đe dọa đang khai thác một lỗ hổng bảo mật nghiêm trọng trong PHP để phân phối các chương trình đào tiền điện tử và trojan truy cập từ xa (RAT) như Quasar RAT.

Lỗ hổng này, được gán mã định danh CVE CVE-2024-4577, đề cập đến một lỗ hổng chèn đối số trong PHP ảnh hưởng đến các hệ thống dựa trên Windows chạy ở chế độ CGI, có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý.

Công ty an ninh mạng Bitdefender cho biết họ đã quan sát thấy sự gia tăng trong các nỗ lực khai thác CVE-2024-4577 kể từ cuối năm ngoái, với sự tập trung đáng kể được báo cáo ở Đài Loan (54,65%), Hồng Kông (27,06%), Brazil (16,39%), Nhật Bản (1,57%) và Ấn Độ (0,33%).

Khoảng 15% các nỗ lực khai thác được phát hiện liên quan đến kiểm tra lỗ hổng cơ bản bằng cách sử dụng các lệnh như “whoami” và “echo <test_string>”. Một 15% khác xoay quanh các lệnh được sử dụng cho trinh sát hệ thống, chẳng hạn như liệt kê quy trình, khám phá mạng, thông tin người dùng và miền, và thu thập siêu dữ liệu hệ thống.

Martin Zugec, giám đốc giải pháp kỹ thuật tại Bitdefender, lưu ý rằng ít nhất khoảng 5% các cuộc tấn công được phát hiện đã dẫn đến việc triển khai trình đào tiền điện tử XMRig.

Zugec nói thêm: “Một chiến dịch nhỏ hơn khác liên quan đến việc triển khai các trình đào Nicehash, một nền tảng cho phép người dùng bán sức mạnh tính toán để lấy tiền điện tử”. “Quy trình khai thác được ngụy trang dưới dạng một ứng dụng hợp pháp, chẳng hạn như javawindows.exe, để tránh bị phát hiện”.

Các cuộc tấn công khác đã được phát hiện là vũ khí hóa lỗ hổng để phân phối các công cụ truy cập từ xa như Quasar RAT mã nguồn mở, cũng như thực thi các tệp trình cài đặt Windows độc hại (MSI) được lưu trữ trên các máy chủ từ xa bằng cmd.exe.

Có lẽ có một sự kiện khá kỳ lạ, công ty Romania cho biết họ cũng quan sát thấy các nỗ lực sửa đổi cấu hình tường lửa trên các máy chủ dễ bị tấn công với mục đích chặn quyền truy cập vào các IP độc hại đã biết có liên quan đến việc khai thác.

Hành vi bất thường này đã làm dấy lên khả năng các nhóm đào tiền điện tử đối thủ đang cạnh tranh để giành quyền kiểm soát các tài nguyên dễ bị tấn công và ngăn chặn chúng nhắm mục tiêu vào những tài nguyên thuộc quyền kiểm soát của họ lần thứ hai. Điều này cũng phù hợp với các quan sát lịch sử về cách các cuộc tấn công đào tiền điện tử được biết là sẽ chấm dứt các quy trình khai thác của đối thủ trước khi triển khai các payload của riêng chúng.

Sự phát triển này diễn ra ngay sau khi Cisco Talos tiết lộ chi tiết về một chiến dịch vũ khí hóa lỗ hổng PHP trong các cuộc tấn công nhắm vào các tổ chức Nhật Bản kể từ đầu năm.

Người dùng được khuyên cập nhật cài đặt PHP của họ lên phiên bản mới nhất để bảo vệ chống lại các mối đe dọa tiềm ẩn.

Zugec cho biết: “Vì hầu hết các chiến dịch đều đang sử dụng các công cụ LOTL, các tổ chức nên cân nhắc hạn chế việc sử dụng các công cụ như PowerShell trong môi trường chỉ cho người dùng có đặc quyền như quản trị viên”

Security365