{"id":1568839,"date":"2025-03-07T03:46:30","date_gmt":"2025-03-07T05:46:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/flaw-php-cgi-rce-exploite-dans-les-attaques-contre-les-secteurs-de-la-technologie-des-telecommunications-et-du-commerce-electronique-du-japon\/"},"modified":"2025-03-07T03:46:35","modified_gmt":"2025-03-07T05:46:35","slug":"flaw-php-cgi-rce-exploite-dans-les-attaques-contre-les-secteurs-de-la-technologie-des-telecommunications-et-du-commerce-electronique-du-japon","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/flaw-php-cgi-rce-exploite-dans-les-attaques-contre-les-secteurs-de-la-technologie-des-telecommunications-et-du-commerce-electronique-du-japon\/","title":{"rendered":"Flaw PHP-CGI RCE exploit\u00e9 dans les attaques contre les secteurs de la technologie, des t\u00e9l\u00e9communications et du commerce \u00e9lectronique du Japon"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">07 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Intelligence \/ vuln\u00e9rabilit\u00e9 des menaces<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Flaw-PHP-CGI-RCE-exploite-dans-les-attaques-contre-les-secteurs.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Des acteurs de menace de provenance inconnue ont \u00e9t\u00e9 attribu\u00e9s \u00e0 une campagne malveillante ciblant principalement les organisations au Japon depuis janvier 2025.<\/p>\n<p>&#8220;L&#8217;attaquant a exploit\u00e9 la vuln\u00e9rabilit\u00e9 CVE-2024-4577, un d\u00e9faut d&#8217;ex\u00e9cution du code distant (RCE) dans la mise en \u0153uvre de PHP-CGI de PHP sur Windows, pour acc\u00e9der initial aux machines victimes&#8221;, a d\u00e9clar\u00e9 le chercheur de Cisco Talos Chetan Raghuprasad <a rel=\"noopener nofollow\" href=\"https:\/\/blog.talosintelligence.com\/new-persistent-attacks-japan\/\" target=\"_blank\">dit<\/a> Dans un rapport technique publi\u00e9 jeudi.<\/p>\n<p>&#8220;L&#8217;attaquant utilise les plugins de la pr\u00e9sence publique <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/manves\/TaoWu-Cobalt-Strike-English\" target=\"_blank\">Kit de frappe Cobalt &#8216;Taowu&#8217;<\/a> pour les activit\u00e9s d&#8217;exploitation des montants. &#8220;<\/p>\n<p>Les cibles de l&#8217;activit\u00e9 malveillante comprennent des entreprises dans tous les secteurs de la technologie, des t\u00e9l\u00e9communications, du divertissement, de l&#8217;\u00e9ducation et du commerce \u00e9lectronique au Japon.<\/p>\n<p>Tout commence par les acteurs de la menace exploitant la vuln\u00e9rabilit\u00e9 CVE-2024-4577 pour obtenir un acc\u00e8s initial et ex\u00e9cuter des scripts PowerShell pour ex\u00e9cuter le cobalt strike inverse http shellcode la charge utile pour s&#8217;accorder un acc\u00e8s \u00e0 distance persistant au crit\u00e8re d&#8217;\u00e9valuation compromis.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;\u00e9tape suivante implique de r\u00e9aliser la reconnaissance, l&#8217;escalade des privil\u00e8ges et les mouvements lat\u00e9raux \u00e0 l&#8217;aide d&#8217;outils comme la juicypotato, la rotation, la patate douce, le fscan et la ceinture de s\u00e9curit\u00e9. Une persistance suppl\u00e9mentaire est \u00e9tablie via des modifications du registre Windows, des t\u00e2ches planifi\u00e9es et des services sur mesure \u00e0 l&#8217;aide des plugins du kit de frappe Cobalt appel\u00e9 Taowu.<\/p>\n<p>&#8220;Pour maintenir la furtivit\u00e9, ils effacent les journaux d&#8217;\u00e9v\u00e9nements \u00e0 l&#8217;aide de commandes Wevtutil, en supprimant les traces de leurs actions des journaux de s\u00e9curit\u00e9, syst\u00e8me et d&#8217;applications Windows&#8221;, a not\u00e9 Raghuprasad. &#8220;Finalement, ils ex\u00e9cutent des commandes Mimikatz pour vider et exfilter les mots de passe et les hachages NTLM de la m\u00e9moire sur la machine de la victime.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Flaw-PHP-CGI-RCE-exploite-dans-les-attaques-contre-les-secteurs.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Flaw-PHP-CGI-RCE-exploite-dans-les-attaques-contre-les-secteurs.jpg\" alt=\"\" border=\"0\" data-original-height=\"666\" data-original-width=\"1600\"\/><\/a><\/div>\n<p>Les attaques culminent avec l&#8217;\u00e9quipe de piratage volant des mots de passe et des hachages NTLM des h\u00f4tes infect\u00e9s. Une analyse plus approfondie des serveurs de commandement et de contr\u00f4le (C2) associ\u00e9s \u00e0 l&#8217;outil de frappe COBALT a r\u00e9v\u00e9l\u00e9 que l&#8217;acteur de menace a laiss\u00e9 les listes de r\u00e9pertoires accessibles sur Internet, exposant ainsi la suite compl\u00e8te d&#8217;outils et de cadres adversaires h\u00e9berg\u00e9s sur les serveurs de cloud Alibaba.<\/p>\n<p>Notable parmi les outils est r\u00e9pertori\u00e9 ci-dessous &#8211;<\/p>\n<ul>\n<li>Framework d&#8217;exploitation du navigateur (b\u0153uf), un logiciel de pentisting accessible au public pour ex\u00e9cuter des commandes dans le contexte du navigateur<\/li>\n<li>Viper C2, un cadre modulaire C2 qui facilite l&#8217;ex\u00e9cution de la commande \u00e0 distance et la g\u00e9n\u00e9ration de charges utiles de coque inverse de m\u00e8tres<\/li>\n<li>Blue-Lotus, un cadre d&#8217;attaque JavaScript Webshell Crosshell Scripting (XSS) qui permet de cr\u00e9er des charges utiles de shell web de la cr\u00e9ation de JavaScript pour mener des attaques XSS, capturer des captures d&#8217;\u00e9cran, obtenir un shell invers\u00e9, voler des cookies de navigateur et cr\u00e9er de nouveaux comptes dans le syst\u00e8me de gestion de contenu (CMS)<\/li>\n<\/ul>\n<p>&#8220;Nous \u00e9valuons avec une confiance mod\u00e9r\u00e9e que le motif de l&#8217;attaquant s&#8217;\u00e9tend au-del\u00e0 de la simple r\u00e9colte d&#8217;identification, sur la base de notre observation d&#8217;autres activit\u00e9s post-exploitation, telles que l&#8217;\u00e9tablissement de la persistance, une augmentation du privil\u00e8ge au niveau du syst\u00e8me et un acc\u00e8s potentiel \u00e0 des cadres adversaires, indiquant la probabilit\u00e9 de futures attaques&#8221;, a d\u00e9clar\u00e9 Raghuprasad.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/php-cgi-rce-flaw-exploited-in-attacks.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80207 mars 2025\ue804Ravie LakshmananIntelligence \/ vuln\u00e9rabilit\u00e9 des menaces Des acteurs de menace de provenance inconnue ont \u00e9t\u00e9 attribu\u00e9s \u00e0 une campagne malveillante ciblant principalement les organisations au Japon depuis janvier 2025. &#8220;L&#8217;attaquant a exploit\u00e9 la vuln\u00e9rabilit\u00e9 CVE-2024-4577, un d\u00e9faut d&#8217;ex\u00e9cution du code distant (RCE) dans la mise en \u0153uvre de PHP-CGI de PHP sur Windows, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1568840,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,8074,4168,3899,841,79002,274264,4161,274263,6124,429,133,5568,7727,53445,12067,65,274267,4160,284941,22778,33952,238617,246491,4172,3033,34776,79016,4166,4164],"class_list":["post-1568839","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-attaques","tag-comment-pirater","tag-commerce","tag-contre","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dans","tag-des","tag-electronique","tag-exploite","tag-flaw","tag-japon","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-phpcgi","tag-rce","tag-secteurs","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-technologie","tag-telecommunications","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1568839","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1568839"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1568839\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1568840"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1568839"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1568839"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1568839"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}