Les acteurs de la menace exploitent une faille de sécurité sévère en PHP pour livrer des mineurs de crypto-monnaie et des chevaux de Troie à distance (rats) comme le rat quasar.
La vulnérabilité, attribuée à l’identifiant CVE CVE-2024-4577, fait référence à une vulnérabilité d’injection d’argument dans PHP affectant les systèmes Windows exécutés en mode CGI qui pourraient permettre aux attaquants distants d’exécuter du code arbitraire.
Bitdefender de la société de cybersécurité dit Il a observé une augmentation des tentatives d’exploitation contre CVE-2024-4577 depuis la fin de l’année dernière, avec une concentration significative signalée à Taïwan (54,65%), Hong Kong (27,06%), le Brésil (16,39%), le Japon (1,57%) et l’Inde (0,33%).
Environ 15% des tentatives d’exploitation détectées impliquent des vérifications de vulnérabilité de base à l’aide de commandes comme “Whoami” et “Echo
Martin Zugec, directeur des solutions techniques chez Bitdefender, a noté qu’au moins environ 5% des attaques détectées ont abouti au déploiement du mineur de crypto-monnaie XMRIG.
“Une autre campagne plus petite impliquait le déploiement de mineurs de Nicehash, une plate-forme qui permet aux utilisateurs de vendre la puissance informatique pour la crypto-monnaie”, a ajouté Zugec. “Le processus de mineur était déguisé en une application légitime, telle que javawindows.exe, pour échapper à la détection.”
D’autres attaques ont été trouvées pour armer la lacune de la livraison d’outils d’accès à distance comme le rat quasar open source, ainsi que des fichiers d’installation Windows malveillants (MSI) hébergés sur des serveurs distants à l’aide de cmd.exe.
Dans peut-être une tournure curieuse, la société roumaine a déclaré qu’elle avait également observé des tentatives de modification des configurations de pare-feu sur des serveurs vulnérables dans le but de bloquer l’accès à des IP malveillants connus associés à l’exploit.
Ce comportement inhabituel a soulevé la possibilité que des groupes de cryptojacking rivaux soient en concurrence pour le contrôle des ressources sensibles et les empêchant de cibler les personnes sous leur contrôle une deuxième fois. Cela est également conforme aux observations historiques sur la façon dont les attaques de cryptjacking sont connues pour mettre fin aux processus de mineurs rivaux avant de déployer leurs propres charges utiles.
Le développement survient peu de temps après que Cisco Talos a révélé que les détails d’une campagne arminaient le défaut PHP dans les attaques ciblant les organisations japonaises depuis le début de l’année.
Il est conseillé aux utilisateurs de mettre à jour leurs installations PHP vers la dernière version pour sauvegarder contre les menaces potentielles.
“Étant donné que la plupart des campagnes utilisent des outils LOTL, les organisations devraient envisager de limiter l’utilisation d’outils tels que PowerShell dans l’environnement aux utilisateurs privilégiés uniquement tels que les administrateurs”, a déclaré Zugec.




