Операция TaoWu: хакеры проникли в пять стратегических отраслей Японии

CVE-2024-4577 RCE Cobalt Strike TaoWu Mimikatz PHP-CGI Viper C2 BeEF Blue-Lotus Cisco Talos Япония
Операция TaoWu: хакеры проникли в пять стратегических отраслей Японии
CVE-2024-4577 RCE Cobalt Strike TaoWu Mimikatz PHP-CGI Viper C2 BeEF Blue-Lotus Cisco Talos Япония

Взлом был обнаружен только после тщательного анализа системных журналов.

image

С начала 2025 года в Японии активизировалась кибератака, проводимая неизвестной группой злоумышленников, использующих уязвимость CVE-2024-4577 . Это критическая ошибка удалённого выполнения кода (RCE) в реализации PHP-CGI для Windows, позволяющая атакующим получить первоначальный доступ к системам жертв. Как сообщают исследователи Cisco Talos, злоумышленники активно применяют плагины Cobalt Strike под названием TaoWu для постэксплуатационных действий.

Кибератака затронула компании из различных секторов, включая технологии, телекоммуникации, развлечения, образование и электронную коммерцию. После компрометации атакующие запускают PowerShell-скрипты для загрузки обратного HTTP-оболочки Cobalt Strike, обеспечивая себе длительный удалённый доступ к системе.

Далее следуют разведка, повышение привилегий и горизонтальное перемещение по сети с помощью инструментов JuicyPotato, RottenPotato, SweetPotato, Fscan и Seatbelt. Для сохранения присутствия злоумышленники модифицируют реестр Windows, создают запланированные задачи и настраивают пользовательские сервисы через плагины TaoWu.

Чтобы скрыть свою активность, атакующие стирают системные журналы событий с помощью утилиты wevtutil, устраняя следы вмешательства. Завершающий этап атаки включает выполнение команд Mimikatz для кражи паролей и NTLM-хэшей из памяти заражённой машины. Анализ командных серверов (C2), используемых в атаке, показал, что киберпреступники оставили директории с инструментами открытыми для доступа через интернет. Эти серверы, размещённые на платформе Alibaba Cloud, содержали полный набор вредоносных инструментов.

Среди обнаруженных утилит оказались:

  • Browser Exploitation Framework (BeEF) — инструмент для эксплуатации уязвимостей браузеров и выполнения команд в их контексте.
  • Viper C2 — модульный фреймворк для удалённого выполнения команд и генерации обратных оболочек Meterpreter.
  • Blue-Lotus — JavaScript-вебшелл для XSS-атак, позволяющий делать скриншоты, красть cookie-файлы, получать обратные оболочки и создавать новые аккаунты в системах управления контентом.

По оценкам специалистов, атака носит более сложный характер, чем простое похищение учётных данных. Постэксплуатационные действия, включая закрепление в системе, получение привилегий уровня SYSTEM и использование сложных инструментов, свидетельствуют о подготовке к возможным будущим атакам.

«Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали
Подпишитесь, чтобы собрать полную картину