{"id":1610984,"date":"2025-03-07T05:05:14","date_gmt":"2025-03-07T05:05:14","guid":{"rendered":"https:\/\/teknomers.com\/es\/php-cgi-rce-flaw-explotado-en-ataques-contra-los-sectores-de-tecnologia-telecomunicaciones-y-comercio-electronico-de-japon\/"},"modified":"2025-03-07T05:05:19","modified_gmt":"2025-03-07T05:05:19","slug":"php-cgi-rce-flaw-explotado-en-ataques-contra-los-sectores-de-tecnologia-telecomunicaciones-y-comercio-electronico-de-japon","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/php-cgi-rce-flaw-explotado-en-ataques-contra-los-sectores-de-tecnologia-telecomunicaciones-y-comercio-electronico-de-japon\/","title":{"rendered":"PHP-CGI RCE Flaw explotado en ataques contra los sectores de tecnolog\u00eda, telecomunicaciones y comercio electr\u00f3nico de Jap\u00f3n"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>07 de marzo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Inteligencia \/vulnerabilidad de amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los actores de amenaza de procedencia desconocida se han atribuido a una campa\u00f1a maliciosa dirigida predominantemente a organizaciones en Jap\u00f3n desde enero de 2025.<\/p>\n

“El atacante ha explotado la vulnerabilidad CVE-2024-4577, una falla de ejecuci\u00f3n de c\u00f3digo remoto (RCE) en la implementaci\u00f3n de PHP-CGI de PHP en Windows, para obtener acceso inicial a las m\u00e1quinas de v\u00edctimas”, el investigador de Cisco Talos Chetan Raghupra dicho<\/a> En un informe t\u00e9cnico publicado el jueves.<\/p>\n

“El atacante utiliza complementos de los p\u00fablicos disponibles Cobalt Strike Kit ‘Taowu’<\/a> para actividades de explotaci\u00f3n de postes “.<\/p>\n

Los objetivos de la actividad maliciosa abarcan empresas en sectores de tecnolog\u00eda, telecomunicaciones, entretenimiento, educaci\u00f3n y comercio electr\u00f3nico en Jap\u00f3n.<\/p>\n

Todo comienza con la amenaza que los actores que explotan la vulnerabilidad CVE-2024-4577 para obtener acceso inicial y ejecutar scripts de PowerShell para ejecutar la carga \u00fatil de shellcode HTTP de Cobalt Strike para otorgarse el acceso remoto persistente al punto final comprometido.<\/p>\n

El siguiente paso implica llevar a cabo el reconocimiento, la escalada de privilegios y el movimiento lateral utilizando herramientas como JuicyPotato, Rottenpotato, Sweetpotato, FSCan y Seatbelt. La persistencia adicional se establece a trav\u00e9s de modificaciones del registro de Windows, tareas programadas y servicios a medida que utilizan los complementos del kit Cobalt Strike llamado Taowu.<\/p>\n

“Para mantener sigiloso, borran registros de eventos utilizando comandos de Wevtutil, eliminando rastros de sus acciones de los registros de seguridad, sistema y aplicaciones de Windows”, se\u00f1al\u00f3 Raghuprasad. “Eventualmente, ejecutan comandos de Mimikatz para descargar y exfiltrar contrase\u00f1as y hashes NTLM de la memoria en la m\u00e1quina de la v\u00edctima”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Los ataques culminan con la tripulaci\u00f3n de pirater\u00eda que roba contrase\u00f1as y hashes NTLM de los hosts infectados. Un an\u00e1lisis posterior de los servidores de comando y control (C2) asociados con la herramienta de huelga de cobalto ha revelado que el actor de amenaza dej\u00f3 los listados de directorio accesibles a trav\u00e9s de Internet, exponiendo as\u00ed el conjunto completo de herramientas y marcos adversos alojados en los servidores de la nube de Alibaba.<\/p>\n

\"PHP-CGI<\/a><\/div>\n

Notable entre las herramientas se enumeran a continuaci\u00f3n –<\/p>\n