Ssylka

PHP-уязвимость открывает путь для атак криптомайнеров и RAT

Опасная уязвимость PHP с идентификатором CVE-2024-4577 ставит под угрозу Windows-системы, работающие в CGI-режиме, позволяя удалённым злоумышленникам исполнять произвольный код. Такой дефект безопасности стал катализатором массированных атак с установкой вредоносного ПО.
PHP-уязвимость открывает путь для атак криптомайнеров и RAT
Изображение носит иллюстративный характер

Анализ компании Bitdefender выявил, что злоумышленники используют дефект для развертывания криптовалютных майнеров и инструментов удалённого доступа. В числе наиболее распространённых решений оказались XMRig-майнер, платформа Nicehash и открытый Quasar RAT.

С конца прошлого года наблюдается резкий всплеск эксплуатационных попыток. Примерно 15% запросов представляют собой базовые проверки уязвимости с помощью команд «whoami» и «echo <test_string>», а ещё 15% включают детальный анализ системы: перечисление процессов, сетевое обнаружение, сбор информации о пользователях и доменах.

Географический анализ показывает, что 54,65% атак приходятся на Тайвань, 27,06% – на Гонконг, 16,39% – на Бразилию, 1,57% – на Японию и 0,33% – на Индию. Такая концентрация свидетельствует о приоритетном интересе злоумышленников к определённым регионам.

Отмечается, что около 5% атак направлены на развертывание XMRig-майнеров, а альтернативная кампания использует Nicehash-решения, при этом вредоносный процесс маскируется под «javawindows.exe», чтобы затруднить обнаружение.

Также фиксируется использование удалённых установщиков: атакующие внедряют Quasar RAT и запускают вредоносные MSI-файлы через cmd.exe, что позволяет им получить полный контроль над скомпрометированными системами.

Некоторые инциденты сопровождаются изменениями в конфигурации брандмауэров с целью блокировки известных вредоносных IP-адресов. Такие действия указывают на внутреннюю конкуренцию среди групп криптоджекинга, которые пытаются устранить процессы соперников для завладения уязвимыми ресурсами.

Параллельно Cisco Talos зафиксировала кампанию, стартовавшую с начала года и ориентированную на японские организации, что подчеркивает масштабность и разнообразие атак с использованием данной PHP-уязвимости.

Специалисты настоятельно рекомендуют обновить установки PHP до последних версий, а также ограничить использование инструментов, таких как PowerShell, предоставляя к ним доступ исключительно администраторам. Технический директор Bitdefender Martin Zugec отмечает, что такие меры существенно снижают риск дальнейшей эксплуатации уязвимости.


Новое на сайте

15656Сквозь водопад: триумф терпения в фотоконкурсе GDT 2025 15655Майское "цветочное полнолуние": микролуние 2024 года 15654Рождение миров: беспрецедентно четкие снимки формирующихся планет у далеких звезд 15653Загадочные космические вспышки: тайна LFBOT-взрывов во вселенной 15652Что стоит за рекордным снимком JWST с 1678 группами галактик? 15651Как театр в Солихулле вернулся к жизни после опасной бетонной угрозы? 15650Что скрывается за 7-месячной реконструкцией исторического театра за 3,5 миллиона фунтов? 15649Путь в гении: новая выставка о молодом Шекспире открывается в Стратфорде-на-Эйвоне 15648Научный оазис в скалистых горах: как заброшенный шахтёрский городок стал центром мировых... 15647Лоррейн Келли успокаивает поклонников перед хирургической операцией 15646Как вредоносные Go-модули стирают диски Linux-систем через атаки на цепочку поставок? 156459 незаменимых электроинструментов для каждого дома: когда и как их использовать 15644Астроном-любитель из вермонта запечатлел впечатляющие галактики со своей домашней... 15643Как финансовые стимулы в законе об эвтаназии могут повлиять на уязвимые группы населения? 15642Как гусеница-коллекционер костей стала хищником в паутинах Гавайев?