С января 2025 года отмечаются атаки на организации Японии, охватывающие сектора технологий, телекоммуникаций, развлечений, образования и электронной коммерции. Злоумышленники неизвестного происхождения целенаправленно атакуют критически важные инфраструктуры.
Атаки начинаются с эксплуатации уязвимости CVE-2024-4577, представляющей собой недостаток в реализации PHP-CGI на Windows, позволяющий запускать удалённый код. При этом применяются PowerShell-скрипты для загрузки обратного HTTP-shellcode из набора Cobalt Strike, что обеспечивает постоянный удалённый доступ.
После получения первоначального контроля злоумышленники используют специализированные инструменты, такие как JuicyPotato, RottenPotato, SweetPotato, Fscan и Seatbelt, для разведки, эскалации привилегий и перемещения по сети. Дополнительно в системах вносятся изменения в реестр Windows, создаются планировщики задач и внедряются собственные сервисы с помощью плагинов из набора Cobalt Strike «TaoWu».
Для сокрытия следов атак выполняется удаление системных журналов с помощью команд wevtutil, что позволяет стереть события в журналах безопасности, системы и приложений. Такая мерка подчеркивает высокий уровень подготовки и продуманности дальнейших действий злоумышленников.
На этапе постэксплуатации злоумышленники применяют команды Mimikatz для извлечения учетных данных: производится дамп паролей и NTLM-хешей из оперативной памяти, что позволяет расширить доступ к целевым системам и закрепить контроль над ними.
Анализ командно-контрольной инфраструктуры выявил использование облачных серверов Alibaba, где оставлены открытыми каталоги с вредоносными инструментами. Среди них обнаружены Browser Exploitation Framework (BeEF) — программное обеспечение для пентестинга, Viper C2, обеспечивающий удалённое выполнение команд и генерацию Meterpreter обратных шеллов, а также Blue-Lotus — JavaScript-вебшелл для проведения XSS-атак, захвата скриншотов, установления обратных подключений, кражи файлов куки и создания новых аккаунтов в системах управления контентом.
Эксперт из Cisco Talos Четан Рагхупрасад отметил, что использование плагинов из набора Cobalt Strike «TaoWu» свидетельствует о том, что мотивация атакующих выходит за рамки простой кражи учетных данных и направлена на подготовку инфраструктур для последующих атак.
Сочетание сложного эксплойта с множеством специализированных инструментов указывает на целенаправленную кампанию, предусматривающую не только кражу информации, но и установление долговременного контроля над системами. Применение различных механизмов для закрепления доступа и обхода традиционных систем логирования повышает вероятность повторных и более разрушительных инцидентов.
Данная угроза подчеркивает необходимость своевременного обновления программного обеспечения, постоянного мониторинга систем безопасности и оперативного реагирования на попытки эксплуатации известных уязвимостей, чтобы существенно снизить потенциальный ущерб от подобных атак.
Изображение носит иллюстративный характер
Атаки начинаются с эксплуатации уязвимости CVE-2024-4577, представляющей собой недостаток в реализации PHP-CGI на Windows, позволяющий запускать удалённый код. При этом применяются PowerShell-скрипты для загрузки обратного HTTP-shellcode из набора Cobalt Strike, что обеспечивает постоянный удалённый доступ.
После получения первоначального контроля злоумышленники используют специализированные инструменты, такие как JuicyPotato, RottenPotato, SweetPotato, Fscan и Seatbelt, для разведки, эскалации привилегий и перемещения по сети. Дополнительно в системах вносятся изменения в реестр Windows, создаются планировщики задач и внедряются собственные сервисы с помощью плагинов из набора Cobalt Strike «TaoWu».
Для сокрытия следов атак выполняется удаление системных журналов с помощью команд wevtutil, что позволяет стереть события в журналах безопасности, системы и приложений. Такая мерка подчеркивает высокий уровень подготовки и продуманности дальнейших действий злоумышленников.
На этапе постэксплуатации злоумышленники применяют команды Mimikatz для извлечения учетных данных: производится дамп паролей и NTLM-хешей из оперативной памяти, что позволяет расширить доступ к целевым системам и закрепить контроль над ними.
Анализ командно-контрольной инфраструктуры выявил использование облачных серверов Alibaba, где оставлены открытыми каталоги с вредоносными инструментами. Среди них обнаружены Browser Exploitation Framework (BeEF) — программное обеспечение для пентестинга, Viper C2, обеспечивающий удалённое выполнение команд и генерацию Meterpreter обратных шеллов, а также Blue-Lotus — JavaScript-вебшелл для проведения XSS-атак, захвата скриншотов, установления обратных подключений, кражи файлов куки и создания новых аккаунтов в системах управления контентом.
Эксперт из Cisco Talos Четан Рагхупрасад отметил, что использование плагинов из набора Cobalt Strike «TaoWu» свидетельствует о том, что мотивация атакующих выходит за рамки простой кражи учетных данных и направлена на подготовку инфраструктур для последующих атак.
Сочетание сложного эксплойта с множеством специализированных инструментов указывает на целенаправленную кампанию, предусматривающую не только кражу информации, но и установление долговременного контроля над системами. Применение различных механизмов для закрепления доступа и обхода традиционных систем логирования повышает вероятность повторных и более разрушительных инцидентов.
Данная угроза подчеркивает необходимость своевременного обновления программного обеспечения, постоянного мониторинга систем безопасности и оперативного реагирования на попытки эксплуатации известных уязвимостей, чтобы существенно снизить потенциальный ущерб от подобных атак.
