Gli hacker stanno sfruttando una grave vulnerabilità di sicurezza in PHP per distribuire miner di criptovaluta e trojan di accesso remoto (RAT) come Quasar RAT. La vulnerabilità, identificata come CVE-2024-4577, è un'iniezione di argomenti che colpisce i sistemi basati su Windows in modalità CGI, consentendo agli attaccanti remoti di eseguire codice arbitrario. L'azienda di cybersecurity Bitdefender ha riportato un aumento degli attacchi sfruttando CVE-2024-4577 dalla fine dello scorso anno, con una concentrazione significativa a Taiwan (54.65%), Hong Kong (27.06%), Brasile (16.39%), Giappone (1.57%) e India (0.33%).

Attività degli attacchi

Circa il 15% degli attacchi rilevati riguarda controlli di vulnerabilità di base usando comandi come "whoami" ed "echo <test_string>". Un altro 15% si concentra su comandi per il riconoscimento del sistema, come l'enumerazione dei processi, la scoperta della rete, le informazioni sull'utente e sul dominio e la raccolta di metadati del sistema. Martin Zugec, direttore delle soluzioni tecniche di Bitdefender, ha osservato che almeno circa il 5% degli attacchi ha portato al dispiegamento del miner di criptovalute XMRig.

Altre campagne e comportamenti

Un'altra campagna minore ha coinvolto il dispiegamento di miner Nicehash, una piattaforma che consente agli utenti di vendere potenza di calcolo per criptovalute. Il processo di mining è stato camuffato come un'applicazione legittima, come javawindows.exe, per evitare la rilevazione. Altri attacchi hanno sfruttato la vulnerabilità per distribuire strumenti di accesso remoto come Quasar RAT, oltre a eseguire file Windows installer (MSI) dannosi ospitati su server remoti usando cmd.exe.

Curiosamente, l'azienda rumena ha anche osservato tentativi di modificare le configurazioni del firewall sui server vulnerabili per bloccare l'accesso a IP noti come malevoli associati all'exploit. Questo comportamento insolito solleva la possibilità che gruppi di cryptojacking rivali stiano competendo per il controllo delle risorse vulnerabili, impedendo loro di prendere di mira quelle sotto il loro controllo una seconda volta. È anche coerente con osservazioni storiche su come gli attacchi di cryptojacking sono noti per terminare i processi di miner rivali prima di distribuire i propri payload.

Raccomandazioni

Questo sviluppo avviene poco dopo che Cisco Talos ha rivelato i dettagli di una campagna che sfrutta la vulnerabilità di PHP in attacchi mirati a organizzazioni giapponesi dall'inizio dell'anno. Agli utenti si consiglia di aggiornare le loro installazioni PHP all'ultima versione per proteggersi da potenziali minacce. Zugec ha affermato: "Poiché la maggior parte delle campagne utilizza strumenti LOTL, le organizzazioni dovrebbero limitare l'uso di strumenti come PowerShell all'interno dell'ambiente solo agli utenti privilegiati come gli amministratori".