Tehdit aktörleri, TTP’lerini sürekli olarak geliştiriyor ve faaliyetlerini yürütmek için yeni kötü amaçlı araçlar geliştiriyor.
Son zamanlarda Akamai araştırmacıları, saldırganların eski ThinkPHP RCE CVE-2018-20062 ve CVE-2019-9082 gibi bilinen güvenlik açıklarından yararlanan endişe verici bir eğilime dikkat çekti.
İlk olarak Ekim 2023’te sınırlı araştırmalarla tespit edilen çok daha büyük bir kampanya, Nisan 2024’te yeniden ortaya çıktı ve bu güvenlik açıklarından uzak kabuklar yüklemek için yararlanıldı.
Bilgisayar korsanları ThinkPHP’ye saldırıyor
CVE açıkları indirmeye çalışıyor “public.txt” büyük olasılıkla güvenliği ihlal edilmiş bir Çin sunucusundan.
Dosya kötü amaçlıdır, adı “roeter.phpKurbanlara kaydedildiğinde, “yönetici” kelimesiyle şifre korumalı, karmaşık bir web kabuğu arka kapısını açar.
Zenlayer bulut IP adreslerinden kaynaklananların çoğu Hong Kong’da bulunmaktadır.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Arka kapıyı barındıran sunucuya virüs bulaşmış; bu, saldırganın maliyetleri düşürmesinin ve yetkililer tarafından tanınmasını gizlemesinin bir yolu olabilir.
Web kabuğu, dosyalarda gezinmek, düzenlemek ve silmek ve ayrıca işletim sisteminin dosya sistemindeki zaman damgalarını değiştirmek için kullanılır.
Çoğu merminin yaptığı gibi bunun İngilizce arayüz yerine Çince arayüze sahip olduğunu belirtmekte fayda var.
“Dama” olarak adlandırılan bu hizmet, yalnızca dosyaları yüklemekle kalmıyor, aynı zamanda istismar tespiti için faydalı sistem bilgilerini de topluyor, bağlantı noktası taramaları gerçekleştiriyor, veritabanlarına erişim izni veriyor ve PHP kısıtlamalarını devre dışı bırakmak ve yüksek ayrıcalıklı görevler eklemek için görevleri zamanlamak gibi ayrıcalıklı yükseltme seçenekleri sunuyor. kullanıcılar veya wmi.
.webp)
Bununla birlikte, şaşırtıcı bir şekilde, geniş yelpazedeki diğer işlevselliklerin aksine, doğrudan işletim sistemi kabuk komutları için komut satırı arayüzü desteği içermemektedir.
ThinkPHP’nin en son sürüm 8.0’a yükseltilmesi önemle tavsiye edilir. Araştırmacılar, son saldırılarda gelişmiş kurban kontrolü için karmaşık bir Çin web kabuğu olan “Dama”nın kullanıldığını, ancak garip bir şekilde CLI desteğinden yoksun olduğunu söyledi.
Bazı müşterilere ThinkPHP kullanmamalarına rağmen saldırıldı, bu da ayrım gözetmeyen hedefleme anlamına geliyordu. Sonuç olarak bu, güvenlik açıklarının tespit edilmesi ve bunlara yama uygulanması konusundaki ısrarlı zorluklara işaret etmektedir.
Bir saldırganın olası amaçları arasında botnet toplamak, fidye yazılımı saldırısı, gasp veya istihbarat elde etmek ve yanal hareket yer alır.
Saldırı teknolojisi ilerledikçe, araçlar ve kullanıcıları arasında giderek artan bir karmaşıklık farkı ortaya çıkıyor.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo