СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
10.03.2025
#ИБ#Инфра#Облака

Кибератака на японские организации: уязвимость CVE-2024-4577

Кибератака на японские организации: уязвимость CVE-2024-4577

Компания Cisco Talos сообщила о продолжающейся с января 2025 года кампании неустановленного злоумышленника, нацеленной на организации в Японии. Данная атака использует уязвимость CVE-2024-4577, представляющую собой уязвимость удаленного выполнения кода в реализации PHP-CGI для PHP в системах Windows.

Методы эксплуатации уязвимости

Используя уязвимость CVE-2024-4577, злоумышленник получает первоначальный доступ к компьютерам жертв. Затем он выполняет ряд действий после эксплуатации, используя плагины из набора инструментов Cobalt Strike, в частности версию, известную как «TaoWu».

После успешной эксплуатации злоумышленник запускает сценарий PowerShell, который инициирует обратное подключение к своему серверу управления (C2) с использованием Cobalt Strike. Это позволяет злоумышленнику:

  • Собирать подробную системную информацию;
  • Использовать эксплойты для повышения привилегий, такие как JuicyPotato, RottenPotato и SweetPotato;
  • Обеспечивать постоянство путем изменения разделов реестра, создания запланированных задач и внедрения вредоносных служб с помощью плагинов Cobalt Strike.

Тактики сокрытия присутствия

Чтобы еще больше скрыть свое присутствие, злоумышленник удаляет журналы событий из системы жертвы с помощью утилиты wevtutil.exe. Он также проводит тщательную разведку сетевой среды, используя такие инструменты, как fscan.exe для отображения целей бокового перемещения и Seatbelt.exe для сбора данных, относящихся к безопасности.

Использование групповой политики и инструменты взлома

Злоумышленник использует объекты групповой политики, применяя SharpGPOAbuse.exe, для развертывания вредоносных сценариев PowerShell в сетях и использует команды Mimikatz для извлечения паролей и хэшей NTLM из памяти.

Расположение командных серверов

CVE-2024-4577 считается критически важным из-за возможностей удаленного выполнения кода, возникающих из-за неправильной обработки данных командной строки в установках PHP на базе Windows. Эксплойт-скрипт PHP-CGI_CVE-2024-4577_RCE.py проверяет уязвимые URL-адреса посредством отправки специально созданных POST-запросов. Если получен определенный ответ, это подтверждает уязвимость и позволяет злоумышленнику выполнить произвольный PHP-код.

Серверы C2, используемые злоумышленником, идентифицированы с IP-адресами 38.14.255.23 и 118.31.18.77, размещены в облаке Alibaba и настроены для хранения и выполнения различных вредоносных инструментов и скриптов.

Заключение

Примечательно, что злоумышленник использовал сценарий оболочки с именем LinuxEnvConfig.sh для настройки среды выполнения задач для нескольких дистрибутивов Linux, что облегчает развертывание различных уязвимых систем безопасности. Среди инструментов, замеченных в использовании, — Blue-Lotus и BeEF, которые позволяют контролировать компьютеры жертв через Интернет.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: