Araştırmacılar, bir URL’nin PHP’nin system() işlevi aracılığıyla birden fazla komut çalıştırarak sunucu tarafındaki bir güvenlik açığından yararlanmaya çalıştığını gözlemledi.
Uzak bir sunucudan kötü amaçlı bir yürütülebilir dosya indirir, yerel olarak çalıştırır ve SSL sertifikası doğrulamasını atlayarak aynı yürütülebilir dosyayı wget kullanarak indirmeye çalışır.
PHP CGI betiği çalıştıran bir web sunucusundaki bir güvenlik açığından yararlanıyor ve uzak bir sunucudan “dr0p.exe” adlı kötü amaçlı bir yürütülebilir dosyayı indirmek için bir komut ekleme kusurundan yararlanıyor.
Kod önce curl kullanarak yürütülebilir dosyayı indirmeye çalışır ve ardından curl başarısız olursa wget’e geri döner, indirilen yürütülebilir dosya daha sonra sunucuda yerel olarak yürütülür.
Muhtemelen bir indirici olan yürütülebilir dosya yakın zamanda VirusTotal’a gönderildi; burada hızlı bir arama, kötü amaçlı yazılımı benzersiz dijital parmak izine göre tanımlamak ve potansiyel olarak engellemek için kullanılabilecek SHA256 karma değerini ortaya çıkardı.
Dr0p.exe’nin tersine mühendisliği, pkt1.exe’yi 80 numaralı bağlantı noktasında EvilBit Block Explorer’ı barındıran ABD tabanlı bir sunucudan (23.27.51.244) indirdiğini ve sunucunun ayrıca 22, 110 ve 6664 numaralı bağlantı noktalarını da açığa çıkardığını ortaya çıkardı.
Analiz, kötü amaçlı yazılım pkt1.exe’nin, muhtemelen bir kripto para madencisi olan packagecrypt.exe’yi başlattığını ve argüman olarak bir PKT Classic cüzdan adresi (“pkt1qxysc58g4cwwautg6dr4p7q7sd6tn2ldgukth5a”) sağladığını ortaya koyuyor.
PKTC blockchain Explorer, bu cüzdanın mevcut piyasa fiyatlarına göre yaklaşık 0,0021785 USDT değerinde yaklaşık 5 PKTC biriktirdiğini belirtiyor.
Web URL etkinliği muhtemelen CVE-2024-4577’yi veya php-cgi.exe dosyasına genel erişime izin veren yanlış yapılandırmaları kullanarak savunmasız PHP sunucularını hedef alıyor.
Bu, güvenlik açıklarını azaltmak ve kripto madencileri gibi tehditlerin neden olduğu performans sorunlarını önlemek için web sunucularının düzenli güvenlik yaması uygulanmasına ve denetlenmesine yönelik kritik ihtiyacı vurgulamaktadır.
SANS araştırması, ele geçirilen PHP sunucularında çıkarılan kripto para biriminin, PacketCrypt projesinin eski bir iş kanıtı parası olan PKTC olduğunu ortaya çıkardı.
Mevcut PacketCrypt projesi Stake-to-Earn modelini kullanıyor ve PKT olarak da adlandırılan farklı bir kripto para birimi yayınlıyor.
Olay, 23.27.51.244 kötü amaçlı IP adresinin kötü amaçlı pkt1.exe (SHA256: e3d0c31608917c0d7184c220d2510848f6267952c38f86926b15fb53d07bd562) yazılımını dağıtmasını içeriyor ve muhtemelen dr0p.exe’yi düşürüyor. (SHA256: d078d8690446e831acc794ee2df5dfabcc5299493e7198993149e3c0c33ccb36) ve packagecrypt.exe (SHA256: 717fe92a00ab25cae8a46265293e3d1f25b2326ecd31406e7a2821853c64d397).
Saldırı, kripto para birimi cüzdan adresi PKTC Cüzdan Adresi ile bağlantılı olabilir: pkt1qxysc58g4cwwautg6dr4p7q7sd6tn2ldgukth5a.
ANY.RUN Threat Intelligence Lookup - Extract Millions of IOC's for Interactive Malware Analysis: Try for Free