VietNetwork.Vn

Kẻ tấn công đang khai thác lỗ hổng bảo mật nghiêm trọng trong PHP để phát tán các chương trình đào tiền điện tử và trojan truy cập từ xa (RAT) như Quasar RAT.

Lỗ hổng bảo mật được định danh là CVE-2024-4577, liên quan đến lỗ hổng chèn tham số trong PHP ảnh hưởng đến các hệ thống chạy trên Windows ở chế độ CGI, cho phép kẻ tấn công từ xa chạy mã tùy ý.

Công ty an ninh mạng Bitdefender cho biết họ đã quan sát thấy sự gia tăng các nỗ lực khai thác CVE-2024-4577 kể từ cuối năm ngoái, với mức độ tập trung đáng kể được báo cáo ở Đài Loan (54,65%), Hồng Kông (27,06%), Brazil (16,39%), Nhật Bản (1,57%) và Ấn Độ (0,33%).

Khoảng 15% các nỗ lực khai thác được phát hiện liên quan đến các kiểm tra lỗ hổng cơ bản bằng các lệnh như "whoami" và "echo <test_string>." 15% khác liên quan đến các lệnh được sử dụng để trinh sát hệ thống, chẳng hạn như liệt kê quy trình, khám phá mạng, thông tin người dùng và tên miền và thu thập siêu dữ liệu hệ thống.

Martin Zugec, giám đốc giải pháp kỹ thuật tại Bitdefender, lưu ý rằng ít nhất khoảng 5% các cuộc tấn công được phát hiện có đỉnh điểm là việc triển khai trình khai thác tiền điện tử XMRig.

"Một chiến dịch nhỏ hơn khác liên quan đến việc triển khai Nicehash miner, một nền tảng cho phép người dùng bán sức mạnh tính toán để lấy tiền điện tử", Zugec nói thêm. "Quy trình miner được ngụy trang thành một ứng dụng hợp pháp, chẳng hạn như javawindows.exe, để tránh bị phát hiện".


Các cuộc tấn công khác đã được phát hiện lợi dụng điểm yếu của việc cung cấp các công cụ truy cập từ xa như Quasar RAT nguồn mở, cũng như thực thi các tệp cài đặt Windows (MSI) độc hại được lưu trữ trên máy chủ từ xa bằng cmd.exe.

Có lẽ hơi kỳ lạ một chút, công ty Romania cho biết họ cũng đã quan sát thấy những nỗ lực sửa đổi cấu hình tường lửa trên các máy chủ dễ bị tấn công nhằm mục đích chặn quyền truy cập vào các IP độc hại đã biết có liên quan đến lỗ hổng này.

Hành vi bất thường này đã làm dấy lên khả năng các nhóm cryptojacking đối thủ đang cạnh tranh để giành quyền kiểm soát các tài nguyên dễ bị tấn công và ngăn chặn chúng nhắm mục tiêu vào những người nằm trong quyền kiểm soát của chúng lần thứ hai. Nó cũng phù hợp với các quan sát trong lịch sử về cách các cuộc tấn công cryptjacking được biết là chấm dứt các quy trình khai thác của đối thủ trước khi triển khai các tải trọng của riêng chúng.

Sự việc này diễn ra ngay sau khi Cisco Talos tiết lộ thông tin chi tiết về chiến dịch lợi dụng lỗ hổng PHP để tấn công vào các tổ chức Nhật Bản kể từ đầu năm.

Người dùng được khuyên nên cập nhật cài đặt PHP của mình lên phiên bản mới nhất để bảo vệ khỏi các mối đe dọa tiềm ẩn.

Zugec cho biết: "Vì hầu hết các chiến dịch đều sử dụng các công cụ LOTL nên các tổ chức nên cân nhắc giới hạn việc sử dụng các công cụ như PowerShell trong môi trường này chỉ dành cho những người dùng có đặc quyền như quản trị viên".