Gli attori delle minacce di origine sconosciuta sono stati collegati a una campagna dannosa che prende di mira principalmente le organizzazioni in Giappone a partire da gennaio 2025. L'attaccante ha sfruttato la vulnerabilità CVE-2024-4577, un difetto di esecuzione di codice remoto (RCE) nell'implementazione PHP-CGI di PHP su Windows, per ottenere l'accesso iniziale alle macchine delle vittime. L'attaccante utilizza plugin del kit Cobalt Strike "TaoWu" disponibile pubblicamente per attività post-sfruttamento. Gli obiettivi delle attività dannose includono aziende dei settori tecnologico, delle telecomunicazioni, dell'intrattenimento, dell'istruzione e dell'e-commerce in Giappone.

Tutto inizia con gli attori delle minacce che sfruttano la vulnerabilità CVE-2024-4577 per ottenere l'accesso iniziale ed eseguire script PowerShell per eseguire il payload Cobalt Strike reverse HTTP shellcode, concedendosi così un accesso remoto persistente al punto finale compromesso. Il passo successivo comporta l'esecuzione di attività di ricognizione, escalation dei privilegi e movimento laterale utilizzando strumenti come JuicyPotato, RottenPotato, SweetPotato, Fscan e Seatbelt. Ulteriore persistenza viene stabilita tramite modifiche al Registro di sistema di Windows, attività pianificate e servizi personalizzati utilizzando i plugin del kit Cobalt Strike chiamato TaoWu.

Per mantenere la furtività, cancellano i log degli eventi utilizzando comandi wevtutil, rimuovendo le tracce delle loro azioni dai log di sicurezza, sistema e applicazione di Windows. Successivamente, eseguono comandi Mimikatz per estrarre ed esfiltrare password e hash NTLM dalla memoria sulla macchina della vittima. Gli attacchi culminano con il furto di password e hash NTLM dagli host infetti da parte del gruppo di hacker. Ulteriori analisi dei server di comando e controllo (C2) associati allo strumento Cobalt Strike hanno rivelato che l'attore delle minacce ha lasciato accessibili le directory in elenco su Internet, esponendo così l'intero suite di strumenti e framework avversari ospitati sui server cloud di Alibaba.

Tra gli strumenti degni di nota ci sono il Browser Exploitation Framework (BeEF), un software pentesting disponibile pubblicamente per eseguire comandi all'interno del contesto del browser, Viper C2, un framework C2 modulare che facilita l'esecuzione di comandi remoti e la generazione di payload reverse shell Meterpreter, e Blue-Lotus, un framework di attacco di scripting cross-site (XSS) che consente la creazione di payload web shell JavaScript per condurre attacchi XSS, catturare schermate, ottenere shell reverse, rubare cookie del browser e creare nuovi account nel sistema di gestione dei contenuti (CMS).

Valutiamo con moderata fiducia che il movente dell'attaccante si estenda oltre il semplice furto di credenziali, sulla base della nostra osservazione di altre attività post-sfruttamento, come l'istituzione di persistenza, l'elevazione al livello di privilegio SYSTEM e l'accesso potenziale a framework avversari, indicando la probabilità di attacchi futuri.