Опасная уязвимость PHP с идентификатором CVE-2024-4577 ставит под угрозу Windows-системы, работающие в CGI-режиме, позволяя удалённым злоумышленникам исполнять произвольный код. Такой дефект безопасности стал катализатором массированных атак с установкой вредоносного ПО.
Анализ компании Bitdefender выявил, что злоумышленники используют дефект для развертывания криптовалютных майнеров и инструментов удалённого доступа. В числе наиболее распространённых решений оказались XMRig-майнер, платформа Nicehash и открытый Quasar RAT.
С конца прошлого года наблюдается резкий всплеск эксплуатационных попыток. Примерно 15% запросов представляют собой базовые проверки уязвимости с помощью команд «whoami» и «echo <test_string>», а ещё 15% включают детальный анализ системы: перечисление процессов, сетевое обнаружение, сбор информации о пользователях и доменах.
Географический анализ показывает, что 54,65% атак приходятся на Тайвань, 27,06% – на Гонконг, 16,39% – на Бразилию, 1,57% – на Японию и 0,33% – на Индию. Такая концентрация свидетельствует о приоритетном интересе злоумышленников к определённым регионам.
Отмечается, что около 5% атак направлены на развертывание XMRig-майнеров, а альтернативная кампания использует Nicehash-решения, при этом вредоносный процесс маскируется под «javawindows.exe», чтобы затруднить обнаружение.
Также фиксируется использование удалённых установщиков: атакующие внедряют Quasar RAT и запускают вредоносные MSI-файлы через cmd.exe, что позволяет им получить полный контроль над скомпрометированными системами.
Некоторые инциденты сопровождаются изменениями в конфигурации брандмауэров с целью блокировки известных вредоносных IP-адресов. Такие действия указывают на внутреннюю конкуренцию среди групп криптоджекинга, которые пытаются устранить процессы соперников для завладения уязвимыми ресурсами.
Параллельно Cisco Talos зафиксировала кампанию, стартовавшую с начала года и ориентированную на японские организации, что подчеркивает масштабность и разнообразие атак с использованием данной PHP-уязвимости.
Специалисты настоятельно рекомендуют обновить установки PHP до последних версий, а также ограничить использование инструментов, таких как PowerShell, предоставляя к ним доступ исключительно администраторам. Технический директор Bitdefender Martin Zugec отмечает, что такие меры существенно снижают риск дальнейшей эксплуатации уязвимости.
Изображение носит иллюстративный характер
Анализ компании Bitdefender выявил, что злоумышленники используют дефект для развертывания криптовалютных майнеров и инструментов удалённого доступа. В числе наиболее распространённых решений оказались XMRig-майнер, платформа Nicehash и открытый Quasar RAT.
С конца прошлого года наблюдается резкий всплеск эксплуатационных попыток. Примерно 15% запросов представляют собой базовые проверки уязвимости с помощью команд «whoami» и «echo <test_string>», а ещё 15% включают детальный анализ системы: перечисление процессов, сетевое обнаружение, сбор информации о пользователях и доменах.
Географический анализ показывает, что 54,65% атак приходятся на Тайвань, 27,06% – на Гонконг, 16,39% – на Бразилию, 1,57% – на Японию и 0,33% – на Индию. Такая концентрация свидетельствует о приоритетном интересе злоумышленников к определённым регионам.
Отмечается, что около 5% атак направлены на развертывание XMRig-майнеров, а альтернативная кампания использует Nicehash-решения, при этом вредоносный процесс маскируется под «javawindows.exe», чтобы затруднить обнаружение.
Также фиксируется использование удалённых установщиков: атакующие внедряют Quasar RAT и запускают вредоносные MSI-файлы через cmd.exe, что позволяет им получить полный контроль над скомпрометированными системами.
Некоторые инциденты сопровождаются изменениями в конфигурации брандмауэров с целью блокировки известных вредоносных IP-адресов. Такие действия указывают на внутреннюю конкуренцию среди групп криптоджекинга, которые пытаются устранить процессы соперников для завладения уязвимыми ресурсами.
Параллельно Cisco Talos зафиксировала кампанию, стартовавшую с начала года и ориентированную на японские организации, что подчеркивает масштабность и разнообразие атак с использованием данной PHP-уязвимости.
Специалисты настоятельно рекомендуют обновить установки PHP до последних версий, а также ограничить использование инструментов, таких как PowerShell, предоставляя к ним доступ исключительно администраторам. Технический директор Bitdefender Martin Zugec отмечает, что такие меры существенно снижают риск дальнейшей эксплуатации уязвимости.
