Уязвимость в PHP превратила тысячи серверов в теневые криптофермы
Злоумышленники блокируют брандмауэры для монополизации доступа к захваченным ресурсам.
Специалисты по кибербезопасности зафиксировали активное использование уязвимости CVE-2024-4577 в PHP для внедрения криптомайнеров и троянов удалённого доступа (RAT), таких как Quasar RAT. Данная уязвимость связана с инъекцией аргументов в PHP на системах Windows, работающих в режиме CGI, что позволяет злоумышленникам выполнять произвольный код.
По данным Bitdefender, атаки на CVE-2024-4577 резко участились с конца прошлого года, особенно в Тайване (54,65% всех атак), Гонконге (27,06%), Бразилии (16,39%), Японии (1,57%) и Индии (0,33%). Примерно 15% зафиксированных атак включали базовые тесты уязвимости, такие как выполнение команд «whoami» или «echo <test_string>», а ещё 15% касались системной разведки: перечисления процессов, анализа сети, сбора информации о пользователях, домене и системных метаданных.
Примерно 5% атак привели к загрузке XMRig — популярного криптомайнера, использующего вычислительные мощности заражённых машин. Помимо этого, Bitdefender обнаружила отдельную кампанию, в которой злоумышленники устанавливали майнеры Nicehash, маскируя их под легитимные процессы, например, «javawindows.exe», чтобы избежать обнаружения.
Кроме криптомайнеров, уязвимость используется для распространения троянов удалённого доступа. Исследователи зафиксировали случаи загрузки Quasar RAT, а также выполнения вредоносных MSI-файлов через «cmd.exe» с удалённых серверов.
Любопытной деталью стало обнаружение попыток изменять настройки брандмауэра на скомпрометированных серверах, чтобы блокировать доступ к известным вредоносным IP-адресам. Это может свидетельствовать о борьбе между конкурирующими группировками криптоджекеров, пытающихся исключить повторное заражение уже взломанных систем. Подобная тактика ранее использовалась для устранения процессов конкурирующих майнеров перед развёртыванием собственного вредоносного ПО.
Недавно эксперты Cisco Talos также сообщили о кампании , в рамках которой уязвимость в PHP использовалась для атак на японские организации. Пользователям рекомендуется срочно обновить PHP до последней версии, чтобы минимизировать риски. Кроме того, специалисты советуют ограничить использование встроенных инструментов Windows, таких как PowerShell, разрешив их запуск только администраторам.