Bilgisayar korsanları, Quasar Rat ve Xmrig Madencileri dağıtmak için şiddetli PHP kusurunu kullanır


19 Mart 2025Ravie LakshmananTehdit İstihbaratı / Kriptajlama

Quasar Rat'ı dağıtmak için PHP kusuru

Tehdit aktörleri, kripto para birimi madencileri ve Quasar Rat gibi uzaktan erişim Truva atları (sıçanlar) sunmak için PHP’de ciddi bir güvenlik kusurundan yararlanıyor.

CVE-2024-4577 CVE tanımlayıcısına atanan güvenlik açığı, PHP’de CGI modunda çalışan Windows tabanlı sistemleri etkileyen bir argüman enjeksiyon güvenlik açığını ifade eder ve bu da uzak saldırganların keyfi kod çalıştırmasına izin verebilir.

Siber güvenlik şirketi Bitdefender, geçen yılın sonlarından bu yana CVE-2024-4577’ye karşı sömürü girişimlerinde bir artış gözlemlediğini, Tayvan’da (%54.65), Hong Kong’da (%27.06), Brezilya (%16.39), Japonya (%1.57) ve Hindistan (0.37) ve Hindistan’da bildirilen önemli bir konsantrasyon olduğunu söyledi.

Siber güvenlik

Tespit edilen sömürü girişimlerinin yaklaşık% 15’i “Whoami” ve “Echo gibi komutları kullanarak temel güvenlik açığı kontrollerini içerir “Bir diğer% 15, süreç numaralandırması, ağ keşfi, kullanıcı ve alan bilgisi ve sistem meta veri toplama gibi sistem keşifleri için kullanılan komutlar etrafında döner.

Bitdefender Teknik Çözümler Direktörü Martin Zugec, tespit edilen saldırıların en azından% 5’inin XMRIG kripto para birimi madencisinin konuşlandırılmasıyla sonuçlandığını belirtti.

Zugec, “Başka bir küçük kampanya, kullanıcıların kripto para birimi için bilgi işlem gücü satmasına izin veren bir platform olan Nicehash Miners’ın konuşlandırılmasını içeriyordu.” “Madenci süreci, tespitten kaçınmak için javawindows.exe gibi meşru bir uygulama olarak gizlendi.”

Quasar Rat'ı dağıtmak için PHP kusuru

Diğer saldırıların, açık kaynaklı Quasar Rat gibi uzaktan erişim araçlarının sağlanmasının eksikliğini silahlandırdığı ve ayrıca CMD.EXE kullanarak uzak sunucularda barındırılan kötü amaçlı Windows yükleyici (MSI) dosyalarını yürüttüğü bulunmuştur.

Belki de meraklı bir bükülme olan Romanya şirketi, istismarla ilişkili bilinen kötü niyetli IP’lere erişimi engellemek amacıyla savunmasız sunuculardaki güvenlik duvarı yapılandırmalarını değiştirme girişimlerini de gözlemlediğini söyledi.

Bu olağandışı davranış, rakip kriptaj gruplarının duyarlı kaynaklar üzerinde kontrol için rekabet etme ve kontrolleri altındaki kişileri ikinci kez hedeflemelerini engelleme olasılığını artırdı. Ayrıca, kripting saldırılarının kendi yüklerini dağıtmadan önce rakip madencilik süreçlerini nasıl sonlandırdığı bilindiği tarihi gözlemlerle de tutarlıdır.

Siber güvenlik

Geliştirme, Cisco Talos’un yılın başından beri Japon organizasyonlarını hedefleyen saldırılarda PHP kusurunu silahlandıran bir kampanyanın ayrıntılarını açıklamasından kısa bir süre sonra geliyor.

Kullanıcılara, potansiyel tehditlere karşı korumak için PHP kurulumlarını en son sürüme güncellemeleri tavsiye edilir.

Zugec, “Çoğu kampanya LOTL araçlarını kullandığından, kuruluşlar çevre içindeki PowerShell gibi araçların kullanımını yalnızca yöneticiler gibi ayrıcalıklı kullanıcılarla sınırlandırmayı düşünmelidir.” Dedi.

Bu makaleyi ilginç mi buldunuz? Bizi takip et Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link