Dreigingsacteurs exploiteren een ernstige beveiligingsfout in PHP om cryptocurrency -mijnwerkers en externe toegang Trojans (ratten) zoals quasar rat te leveren.
De kwetsbaarheid, toegewezen de CVE-ID CVE-2024-4577, verwijst naar een kwetsbaarheid van argumentinjectie in PHP die van invloed zijn op Windows-gebaseerde systemen die in CGI-modus worden uitgevoerd, waardoor externe aanvallers willekeurige code kunnen uitvoeren.
Cybersecurity Company Bitdefender zei dat het sinds eind vorig jaar een stijging van de uitbuitingspogingen tegen CVE-2024-4577 heeft waargenomen, met een significante concentratie gerapporteerd in Taiwan (54,65%), Hong Kong (27,06%), Brazilië (16,39%), Japan (1,57%) en India (0,33%).
Ongeveer 15% van de gedetecteerde exploitatiepogingen omvatten basiscontroles voor kwetsbaarheid met behulp van opdrachten zoals “whoami” en “echo
Martin Zugec, directeur van Technical Solutions bij Bitdefender, merkte op dat ten minste ongeveer 5% van de gedetecteerde aanvallen culmineerde in de inzet van de Xmrig Cryptocurrency Miner.
“Een andere kleinere campagne betrof de implementatie van NiceHash Miners, een platform waarmee gebruikers computerpower kunnen verkopen voor cryptocurrency,” voegde Zugec eraan toe. “Het mijnwerkersproces werd vermomd als een legitieme toepassing, zoals Javawindows.exe, om detectie te ontwijken.”
Er zijn andere aanvallen gevonden om de tekortkoming van het leveren van externe toegangstools zoals de Open-Source Quasar Rat te bewapenen, en Malicious Windows Installer (MSI) -bestanden uit te voeren die zijn gehost op externe servers met behulp van CMD.exe.
In misschien iets van een nieuwsgierige wending zei het Roemeense bedrijf dat het ook pogingen waarnam om firewall -configuraties op kwetsbare servers te wijzigen met als doel de toegang tot bekende kwaadaardige IP’s te blokkeren die verband houden met de exploit.
Dit ongebruikelijke gedrag heeft de mogelijkheid opgeroepen dat rivaliserende cryptojackinggroepen strijden om controle over gevoelige middelen en voorkomen dat ze zich als tweede onder hun controle richten. Het is ook consistent met historische observaties over hoe Cryptjacking -aanvallen concurrerende mijnwerkprocessen beëindigen voordat ze hun eigen payloads inzetten.
De ontwikkeling komt kort nadat Cisco Talos details onthulde van een campagne die de PHP -fout bewapent in aanvallen op Japanse organisaties sinds het begin van het jaar.
Gebruikers wordt geadviseerd om hun PHP -installaties bij te werken naar de nieuwste versie om te beschermen tegen potentiële bedreigingen.
“Omdat de meeste campagnes LOTL -tools hebben gebruikt, moeten organisaties overwegen het gebruik van tools zoals PowerShell in de omgeving te beperken tot alleen bevoorrechte gebruikers zoals beheerders,” zei Zugec.
