Tehdit aktörleri, kripto para birimi madencileri ve Quasar Rat gibi uzaktan erişim Truva atları (sıçanlar) sunmak için PHP’de ciddi bir güvenlik kusurundan yararlanıyor.
CVE-2024-4577 CVE tanımlayıcısına atanan güvenlik açığı, PHP’de CGI modunda çalışan Windows tabanlı sistemleri etkileyen bir argüman enjeksiyon güvenlik açığını ifade eder ve bu da uzak saldırganların keyfi kod çalıştırmasına izin verebilir.
Siber Güvenlik Şirketi Bitdefender söz konusu Geçen yılın sonlarından bu yana CVE-2024-4577’ye karşı sömürü girişimlerinde bir artış gözlemledi, Tayvan’da (%54.65), Hong Kong’da (%27.06), Brezilya (%16.39), Japonya (%1.57) ve Hindistan (%0.33) ‘de bildirildi.
Tespit edilen sömürü girişimlerinin yaklaşık% 15’i “Whoami” ve “Echo gibi komutları kullanarak temel güvenlik açığı kontrollerini içerir
Bitdefender Teknik Çözümler Direktörü Martin Zugec, tespit edilen saldırıların en azından% 5’inin XMRIG kripto para birimi madencisinin konuşlandırılmasıyla sonuçlandığını belirtti.
Zugec, “Başka bir küçük kampanya, kullanıcıların kripto para birimi için bilgi işlem gücü satmasına izin veren bir platform olan Nicehash Miners’ın konuşlandırılmasını içeriyordu.” “Madenci süreci, tespitten kaçınmak için javawindows.exe gibi meşru bir uygulama olarak gizlendi.”
Diğer saldırıların, açık kaynaklı Quasar Rat gibi uzaktan erişim araçlarının sağlanmasının eksikliğini silahlandırdığı ve ayrıca CMD.EXE kullanarak uzak sunucularda barındırılan kötü amaçlı Windows yükleyici (MSI) dosyalarını yürüttüğü bulunmuştur.
Belki de meraklı bir bükülme olan Romanya şirketi, istismarla ilişkili bilinen kötü niyetli IP’lere erişimi engellemek amacıyla savunmasız sunuculardaki güvenlik duvarı yapılandırmalarını değiştirme girişimlerini de gözlemlediğini söyledi.
Bu olağandışı davranış, rakip kriptaj gruplarının duyarlı kaynaklar üzerinde kontrol için rekabet etme ve kontrolleri altındaki kişileri ikinci kez hedeflemelerini engelleme olasılığını artırdı. Ayrıca, kripting saldırılarının kendi yüklerini dağıtmadan önce rakip madencilik süreçlerini nasıl sonlandırdığı bilindiği tarihi gözlemlerle de tutarlıdır.
Geliştirme, Cisco Talos’un yılın başından beri Japon organizasyonlarını hedefleyen saldırılarda PHP kusurunu silahlandıran bir kampanyanın ayrıntılarını açıklamasından kısa bir süre sonra geliyor.
Kullanıcılara, potansiyel tehditlere karşı korumak için PHP kurulumlarını en son sürüme güncellemeleri tavsiye edilir.
Zugec, “Çoğu kampanya LOTL araçlarını kullandığından, kuruluşlar çevre içindeki PowerShell gibi araçların kullanımını yalnızca yöneticiler gibi ayrıcalıklı kullanıcılarla sınırlandırmayı düşünmelidir.” Dedi.
