Gli attori delle minacce stanno sfruttando un grave difetto di sicurezza in PHP per fornire minatori di criptovaluta e trojan di accesso remoto (ratti) come il ratto quasar.
La vulnerabilità, assegnata all’identificatore CVE CVE-2024-4577si riferisce a una vulnerabilità di iniezione di argomentazioni nel PHP che colpisce i sistemi basati su Home windows in esecuzione in modalità CGI che potrebbero consentire agli aggressori remoti di eseguire codice arbitrario.
La società di sicurezza informatica Bitdefender disse Ha osservato un aumento dei tentativi di sfruttamento contro la CVE-2024-4577 dalla nice dello scorso anno, con una concentrazione significativa riportata in Taiwan (54,65%), Hong Kong (27,06%), Brasile (16,39%), Giappone (1,57%) e India (0,33%).
Circa il 15% dei tentativi di sfruttamento rilevati prevede controlli di vulnerabilità di base usando comandi come “Whoami” ed “Echo
Martin Zugec, direttore delle soluzioni tecniche di Bitdefender, ha osservato che almeno circa il 5% degli attacchi rilevati è culminato nello spiegamento del minatore di criptovaluta XMrig.
“Un’altra campagna più piccola ha comportato la distribuzione di NiceHash Miners, una piattaforma che consente agli utenti di vendere potenza di calcolo per la criptovaluta”, ha aggiunto Zugec. “Il processo del minatore è stato mascherato da applicazione legittima, come Javawindows.exe, per eludere il rilevamento.”
Sono stati trovati altri attacchi per armare il difetto della fornitura di strumenti di accesso remoto come il ratto Quasar open supply, nonché eseguire i file di installazione di Home windows (MSI) di Esegui Maleicicus Home windows ospitati su server remoti utilizzando CMD.EXE.
In forse una sorta di curiosa svolta, la società rumena ha affermato di aver anche osservato tentativi di modificare le configurazioni di firewall su server vulnerabili con l’obiettivo di bloccare l’accesso a IP dannosi noti associati all’exploit.
Questo comportamento insolito ha sollevato la possibilità che i gruppi di criptojacking competenti siano in competizione per il controllo delle risorse sensibili e impedendo loro di colpire coloro che sono sotto il loro controllo una seconda volta. È anche coerente con storico osservazioni su come gli attacchi di criptjacking sono noti per interrompere i processi di minatore rivale prima di distribuire i propri carichi utili.
Lo sviluppo arriva poco dopo Cisco Talos rivelato Dettagli di una campagna che arma il difetto di PHP in attacchi destinati alle organizzazioni giapponesi dall’inizio dell’anno.
Si consiglia agli utenti di aggiornare le loro installazioni PHP all’ultima versione per salvaguardare le potenziali minacce.
“Poiché la maggior parte delle campagne ha utilizzato strumenti LOTL, le organizzazioni dovrebbero considerare di limitare l’uso di strumenti come PowerShell all’interno dell’ambiente solo agli utenti privilegiati come gli amministratori”, ha affermato Zugec.
