PacketCrypt Classic Cryptocurrency Miner’ı enjekte etmek için CVE-2024-4577 olarak tanımlanan önemli bir PHP sunucusu güvenlik açığından yararlanıldı.
Bu PHP CGI Argüman Ekleme güvenlik açığı, bir saldırganın çoğunlukla Windows altında çalışan ve Çince ve Japonca dil yerel ayarlarını kullanan, güvenlik açığı bulunan bir PHP sürümü üzerinde uzaktan kod yürütme (RCE) elde etmesine olanak tanır.
Güvenlik açığı, Haziran 2024’te Orange Tsai tarafından tespit edildi. Watchtwr Labs, bunun ardından bir istismar kavramı kanıtı ve ayrıntılı bir blog makalesi yayınladı.
Güvenlik açığında çok sayıda istismar girişimi görüldü; bu durum, güçlü bir şekilde istismar edilebildiğini ve tehdit aktörleri tarafından hızla benimsendiğini gösteriyor.
Komut enjeksiyonu ve Gh0st RAT, RedTail kripto madencileri ve XMRig gibi çeşitli kötü amaçlı yazılım saldırılarından yararlanıldı.
PacketCrypt PHP Sunucularında Klasik Kripto Para Madencisi
Kıdemli danışman ve araştırmacı Yee Ching Tok araştırmasına göre, web URL etkinliği, duyarlı PHP sunucularından (en yeni CVE-2024-4577 gibi) veya php-cgi.exe’ye sınırsız genel erişime izin veren yanlış yapılandırılmış PHP sunucularından yararlanıyor gibi görünüyor
İlk olarak, dr0p.exe, 23.27.51.244’ten ikincil bir pkt1.exe dosyasını (e3d0c31608917c0d7184c220d2510848f6267952c38f86926b15fb53d07bd562) aldı.
Shodan’a göre ABD merkezli IP adresinde dört açık bağlantı noktası (22, 80, 110 ve 6664) vardı ve 80 numaralı bağlantı noktasında EvilBit Block Explorer’ı çalıştırıyordu.
Pkt1.exe dosyası ayrıca yürütülebilir bir packagecrypt.exe dosyasını çalıştırır ve parametrelerinden biri olarak bir PacketCrypt (PKT Classic) cüzdan adresi (pkt1qxysc58g4cwwautg6dr4p7q7sd6tn2ldgukth5a) içerir.
Bu nedenle, PHP sunucularınızı uzun süredir yükseltmediyseniz, bu, sistem sahiplerine web sunucularını kripto madencilerinin neden olduğu güvenlik açıkları ve beklenmedik performans sorunlarına karşı yamalamaları ve denetlemeleri konusunda bilgilendirici bir hatırlatma görevi görebilir.
ANY.RUN Threat Intelligence Lookup - Extract Millions of IOC's for Interactive Malware Analysis: Try for Free