Los actores de amenaza están explotando un defecto de seguridad severo en PHP para entregar mineros de criptomonedas y troyanos de camino remoto (ratas) como Radiofuente Rat.
La vulnerabilidad, asignada al identificador CVE CVE-2024-4577, se refiere a una vulnerabilidad de inyección de argumentos en PHP que afectan los sistemas basados en Windows en modo CGI que podrían permitir a los atacantes remotos ejecutar código parcial.
La compañía de ciberseguridad Bitdefender dijo que ha observado un aumento en los intentos de explotación contra CVE-2024-4577 desde finales del año pasado, con una concentración significativa reportada en Taiwán (54.65%), Hong Kong (27.06%), Brasil (16.39%), Japón (1.57%) e India (0.33%).
Aproximadamente del 15% de los intentos de explotación detectados implican verificaciones básicas de vulnerabilidad utilizando comandos como “Whoami” y “Echo
Martin Zugec, director de soluciones técnicas en Bitdefender, señaló que al menos aproximadamente el 5% de los ataques detectados culminaron en el despliegue del minero de criptomonedas XMRIG.
“Otra campaña más pequeña involucró la implementación de mineros de Nicehash, una plataforma que permite a los usuarios traicionar energía informática para criptomonedas”, agregó Zugec. “El proceso minero se disfrazó de una aplicación legítima, como javawindows.exe, para eludir la detección”.
Se ha enemigo que otros ataques arman la deficiencia de la entrega de herramientas de camino remoto como la rata cuásar de código descubierto, así como ejecutan archivos de instalador de Windows (MSI) alojados en servidores remotos con cmd.exe.
Quizás en un viraje excéntrico, la compañía rumana dijo que incluso observó intentos de modificar las configuraciones de firewall en servidores vulnerables con el objetivo de circunvalar el camino a IP maliciosas conocidas asociadas con la exploit.
Este comportamiento inusual ha aumentado la posibilidad de que los grupos de criptojacking rivales compitan por el control sobre los fortuna susceptibles y eviten que se dirigan a aquellos bajo su control por segunda vez. Todavía es consistente con las observaciones históricas sobre cómo se sabe que los ataques de criptyinging terminan los procesos mineros rivales antiguamente de desplegar sus propias cargas bártulos.
El mejora se produce poco posteriormente de que Cisco Talos revelara detalles de una campaña que armaba el defecto de PHP en ataques dirigidos a organizaciones japonesas desde el manifestación del año.
Se aconseja a los usuarios que actualicen sus instalaciones de PHP a la última interpretación para amparar contra posibles amenazas.
“Poliedro que la mayoría de las campañas han estado utilizando herramientas LOTL, las organizaciones deberían considerar deslindar el uso de herramientas como PowerShell en el interior del entorno solo para usuarios privilegiados como los administradores”, dijo Zugec.
