Bilinmeyen saldırganların Windows sistemlerinde PHP-CGI’da kritik bir uzaktan kod yürütme (RCE) güvenlik açığından yararlandığı durumlarda yeni bir siber güvenlik tehdidi ortaya çıktı.
CVE-2024-4577 olarak tanımlanan bu güvenlik açığı, saldırganların savunmasız bir PHP-CGI kurulumuna sahip Apache kullanarak sunucularda keyfi PHP kodu yürütmesine izin verir.
Saldırganlar öncelikle teknoloji, telekomünikasyon, eğlence, eğitim ve e-ticaret dahil olmak üzere çeşitli sektörlerde Japonya’daki organizasyonları hedefliyor.
Sömürü ve sömürü sonrası faaliyetler
Saldırganlar, CVE-2024-4577 güvenlik açığını kontrol eden halka açık bir Python istismar komut dosyasından yararlanarak ilk erişim elde eder.
Kullanıldıktan sonra, bir komut ve kontrol (C2) sunucusundan bir PowerShell enjektör komut dosyasını indiren ve çalıştıran PHP koduna gömülü bir PowerShell komutu yürütürler.
Cisco Talos raporuna göre, bu komut dosyası kurban makinesine uzaktan erişim sağlayarak Cobalt Strike Ters HTTP kabuk kodu enjekte eder ve yürütür.
Saldırganlar daha sonra keşif, ayrıcalık artışı ve kalıcılık dahil olmak üzere, sömürü sonrası faaliyetler için Cobalt Strike “Taowu” kitinden eklentiler kullanıyor.
Ayrıcalık artışı için juicypotato, rottenpotato ve sweetpotato gibi araçlar kullanırlar ve kayıt defteri anahtarlarını değiştirir ve kalıcılığı korumak için planlanan görevler oluştururlar.
Saldırganlar ayrıca, yanal hareket için potansiyel hedefleri eşlemek için “fscan.exe” ve “emniyet kemeri.exe” gibi araçları kullanarak ağ keşifleriyle uğraşıyorlar.
Ağ genelinde kötü amaçlı komut dosyaları yürütmek için grup politika nesnelerini (GPO) kötüye kullanmaya çalışırlar.
Ek olarak, şifreleri ve NTLM karmalarını bellekten dökmek ve doldurmak için Mimikatz kullanırlar.
Tespitten kaçınmak için, “wevtutil.exe” kullanarak Windows olay günlüklerini temizlerler.
Meşru araçların ve çerçevelerin kötüye kullanılması
Saldırganlar, bir Alibaba bulut konteyneri kayıt defterinde barındırılan meşru araçların ve çerçevelerin kötüye kullanıldığı gözlemlendi.
Vulfocus, Varlık Keşif Deniz Feneri (ARL), Viper C2, Starkiller, sığır eti ve mavi-lotus gibi bir dizi düşmanca araç dağıtmak için önceden yapılandırılmış bir yükleyici komut dosyası kullanırlar.
Bu araçlar genellikle saldırgan güvenlik testi için kullanılır, ancak kötü niyetli faaliyetler için yeniden kullanılmaktadır.
Saldırganların taktikleri, bilinen hacker grupları tarafından kullanılanlarla benzerlikler gösterir, ancak ilişkilendirme belirsiz kalır.
İlk erişim için kamuya açık uygulamaların devam eden kullanımı, güvenlik açıklarının yamalanmasının ve sağlam güvenlik önlemlerinin uygulanmasının önemini vurgulamaktadır.
Kuruluşlar, PHP-CGI uygulamalarını güvence altına almaya ve bu tehditleri azaltmak için şüpheli faaliyetlerin izlenmesine öncelik vermelidir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free