Ssylka

PHP-уязвимость открывает путь для атак криптомайнеров и RAT

Опасная уязвимость PHP с идентификатором CVE-2024-4577 ставит под угрозу Windows-системы, работающие в CGI-режиме, позволяя удалённым злоумышленникам исполнять произвольный код. Такой дефект безопасности стал катализатором массированных атак с установкой вредоносного ПО.
PHP-уязвимость открывает путь для атак криптомайнеров и RAT
Изображение носит иллюстративный характер

Анализ компании Bitdefender выявил, что злоумышленники используют дефект для развертывания криптовалютных майнеров и инструментов удалённого доступа. В числе наиболее распространённых решений оказались XMRig-майнер, платформа Nicehash и открытый Quasar RAT.

С конца прошлого года наблюдается резкий всплеск эксплуатационных попыток. Примерно 15% запросов представляют собой базовые проверки уязвимости с помощью команд «whoami» и «echo <test_string>», а ещё 15% включают детальный анализ системы: перечисление процессов, сетевое обнаружение, сбор информации о пользователях и доменах.

Географический анализ показывает, что 54,65% атак приходятся на Тайвань, 27,06% – на Гонконг, 16,39% – на Бразилию, 1,57% – на Японию и 0,33% – на Индию. Такая концентрация свидетельствует о приоритетном интересе злоумышленников к определённым регионам.

Отмечается, что около 5% атак направлены на развертывание XMRig-майнеров, а альтернативная кампания использует Nicehash-решения, при этом вредоносный процесс маскируется под «javawindows.exe», чтобы затруднить обнаружение.

Также фиксируется использование удалённых установщиков: атакующие внедряют Quasar RAT и запускают вредоносные MSI-файлы через cmd.exe, что позволяет им получить полный контроль над скомпрометированными системами.

Некоторые инциденты сопровождаются изменениями в конфигурации брандмауэров с целью блокировки известных вредоносных IP-адресов. Такие действия указывают на внутреннюю конкуренцию среди групп криптоджекинга, которые пытаются устранить процессы соперников для завладения уязвимыми ресурсами.

Параллельно Cisco Talos зафиксировала кампанию, стартовавшую с начала года и ориентированную на японские организации, что подчеркивает масштабность и разнообразие атак с использованием данной PHP-уязвимости.

Специалисты настоятельно рекомендуют обновить установки PHP до последних версий, а также ограничить использование инструментов, таких как PowerShell, предоставляя к ним доступ исключительно администраторам. Технический директор Bitdefender Martin Zugec отмечает, что такие меры существенно снижают риск дальнейшей эксплуатации уязвимости.


Новое на сайте

15389Подземное таяние под фундаментом северной Америки 15388NASA показала астероид Doughaldjohanson с формой булавы 15387Запрет восьми искусственных красителей в продуктах США: план Роберта Кеннеди-младшего 15386Как зловредный Docker-модуль использует Teneo Web3 для добычи криптовалюты через... 15385Влияние плана 529 на размер финансовой помощи в вузах 15384Первое свидетельство социального потребления алкоголя среди шимпанзе 15383Возвращение беверли Найт на родную сцену Веллингтона 15382«Череп» Марса: неожиданная находка ровера Perseverance в кратере Джезеро 15381Внутренние угрозы безопасности: браузеры как слабое звено в корпоративной защите 15380Тайна столкновения в скоплении персея раскрыта 15379Уязвимость ConfusedComposer в GCP Cloud Composer открывает путь к эскалации привилегий 15378Как когнитивные тесты помогают воспитать послушного щенка 15377Почему астероид Дональджонсон удивляет геологов всей сложностью? 15376Почему забыть отравление едой невозможно? 15375Стальная гнездовая коробка на мосту: надежная защита для орланов и автомобилистов