Dreigingsactoren van onbekende herkomst zijn toegeschreven aan een kwaadwillende campagne die sinds januari 2025 voornamelijk organisaties in Japan richt.
“De aanvaller heeft de kwetsbaarheid CVE-2024-4577, een externe code-uitvoering (RCE) -fout in de PHP-CGI-implementatie van PHP op Windows, benut om initiële toegang te krijgen tot slachtoffer-machines,” zei Cisco Talos-onderzoeker Chetan Raghuprasad in een technisch rapport dat donderdag werd gepubliceerd.
“De aanvaller maakt gebruik van plug-ins van de openbaar beschikbare Cobalt Strike Kit ‘Taowu’ voor exploitatie-activiteiten.”
Doelen van de kwaadaardige activiteit omvatten bedrijven in technologie, telecommunicatie, entertainment, onderwijs en e-commerce sectoren in Japan.
Het begint allemaal met de dreigingsacteurs die de CVE-2024-4577-kwetsbaarheid exploiteren om initiële toegang te krijgen en PowerShell-scripts uit te voeren om de kobaltstaking omgekeerde HTTP ShellCode-lading uit te voeren om zichzelf aanhoudende externe toegang te geven tot het gecompromitteerde eindpunt.
De volgende stap houdt in dat verkenning, escalatie voor privileges en laterale beweging wordt uitgevoerd met behulp van hulpmiddelen zoals juicypotato, rottenpotato, sweetpotato, fscan en veiligheidsgordel. Extra persistentie wordt vastgesteld via Windows -registeraanpassingen, geplande taken en op maat gemaakte services met behulp van de plug -ins van de Cobalt Strike Kit genaamd Taowu.
“Om stealth te behouden, wissen ze gebeurtenislogboeken met behulp van Wevtutil -opdrachten, waarbij ze sporen van hun acties verwijderen uit de Windows Security, System en Application Logs,” merkte Raghuprasad op. “Uiteindelijk voeren ze Mimikatz -opdrachten uit om wachtwoorden en NTLM Hashes uit het geheugen op de machine van het slachtoffer te dumpen en te exfiltreren.”
De aanvallen culmineren met de hacking crew stelen wachtwoorden en NTLM -hashes van de geïnfecteerde hosts. Verdere analyse van de command-and-control (C2) -servers die zijn geassocieerd met de Cobalt Strike-tool heeft aangetoond dat de dreigingsacteur de directory-lijsten toegankelijk heeft achtergelaten via internet, waardoor de volledige reeks tegenstanders en kaders werden blootgesteld op de Alibaba Cloud Servers.
Opmerkelijk onder de tools worden hieronder vermeld –
- Browser Exploitation Framework (rundvlees), een openbaar beschikbare pentesting -software voor het uitvoeren van opdrachten in de browsercontext
- Viper C2, een modulair C2 -framework dat externe commando -uitvoering vergemakkelijkt en het genereren van meterpreter reverse shell payloads
- Blue-Lotus, een JavaScript Webshell Cross-Site Scripting (XSS) aanvalsframework waarmee JavaScript Web Shell-payloads mogelijk is om XSS-aanvallen uit te voeren, screenshots vast te leggen, reverse shell, steel browser-cookies te maken en nieuwe accounts te maken in het inhoudsbeheersysteem (CMS)
“We beoordelen met gematigd vertrouwen dat het motief van de aanvaller verder gaat dan alleen het oogsten van de geloofsbrieven, gebaseerd op onze observatie van andere post-exploitatie-activiteiten, zoals het vaststellen van persistentie, het verhogen van het voorrecht op systeemniveau en potentiële toegang tot vijandige kaders, hetgeen de naloos van toekomstige aanvallen aangeeft,” zei Raghuprasad.
