Уязвимость CVE-2024-4577: Глобальная угроза для систем PHP
Источник: www.bitdefender.com
Bitdefender Labs обращает внимание на текущую эксплуатацию критической уязвимости CVE-2024-4577 при внедрении аргументов в PHP. Эта уязвимость затрагивает системы Windows, работающие в режиме CGI, и позволяет удаленным злоумышленникам выполнять произвольный код, манипулируя преобразованиями кодировок символов.
Характеристика уязвимости
Выявленная в июне 2024 года, уязвимость CVE-2024-4577 становится особенно актуальной, когда уязвимые системы пытаются «перевести» символы, которые они не распознают. Это приводит к выполнению непреднамеренных команд. Хотя уязвимость может быть вызвана многобайтовыми наборами символов, часто используемыми в азиатских языках, её последствия носят глобальный характер.
География атак
Согласно данным, число попыток эксплуатации уязвимости резко возросло, особенно в следующих странах:
- Тайвань
- Гонконг
- Бразилия
- Япония
- Индия
Тактики злоумышленников
Анализ действий, связанных с использованием данной уязвимости, показывает значительную тенденцию к изменению настроек брандмауэра на уязвимых серверах. Это делается для блокировки известных вредоносных IP-адресов, что указывает на конкуренцию между группами криптоджекеров за контроль над скомпрометированными ресурсами. Наблюдаются закономерности, которые могут свидетельствовать о борьбе злоумышленников с одноранговыми конкурентами, что напоминает тактику, ранее наблюдавшуюся в группе Lemduck.
Анализ действий злоумышленников
Данные обнаружения показывают, что около 15% действий являются базовым исследованием уязвимостей. Для проверки возможности эксплуатации системы используются команды, такие как whoami. Эти же команды могут применяться и командами безопасности, проводящими свои собственные оценки.
Еще 15% обнаружений связано с проведением системной разведки с использованием инструментов командной строки. Это позволяет злоумышленникам незаметно собирать разведданные. Используемые команды включают:
- Перечисление процессов: tasklist, wmic
- Обнаружение сети: netstat, netsh
- Получение информации о пользователях и домене: net, nltest
- Сбор системной информации: systeminfo, wmic
Распределение вредоносного ПО
Телеметрия показывает, что примерно 5% атак приводят к развертыванию XMRig, популярного майнера криптовалют с открытым исходным кодом. XMRig оптимизирован для майнинга на процессорах и позволяет злоумышленникам использовать серверные ресурсы без необходимости специализированного оборудования, применяя функции конфиденциальности Monero для уклонения от уголовной ответственности.
Методы, использующиеся для развертывания XMRig, включают:
- Загрузку драйвера winrig.sys через PowerShell или curl
- Использование уязвимого драйвера Winring0x64 для сокрытия вредоносной активности
Кроме того, отмечена кампания, использующая майнеры Nicehash, замаскированные под законные приложения, что также способствует снижению вероятности обнаружения.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
