Los actores de amenaza de procedencia desconocida se han atribuido a una campaña maliciosa dirigida predominantemente a organizaciones en Japón desde enero de 2025.
“El atacante ha explotado la vulnerabilidad CVE-2024-4577, una equivocación de ejecución de código remoto (RCE) en la implementación de PHP-CGI de PHP en Windows, para obtener camino auténtico a máquinas de víctimas”, dijo el investigador de Cisco Talos Chetan Raghuprasad en un documentación técnico publicado el jueves.
“El atacante utiliza complementos del kit de huelga de cobalto apto públicamente ‘Taowu’ para actividades de explotación postales”.
Los objetivos de la actividad maliciosa abarcan empresas en sectores de tecnología, telecomunicaciones, entretenimiento, educación y comercio electrónico en Japón.
Todo comienza con la amenaza que los actores que explotan la vulnerabilidad CVE-2024-4577 para obtener camino auténtico y ejecutar scripts de PowerShell para ejecutar la carga útil de shellcode HTTP de Cobalt Strike para otorgarse el camino remoto persistente al punto final comprometido.
El venidero paso implica aguantar a punta el gratitud, la ascenso de privilegios y el movimiento vecino utilizando herramientas como JuicyPotato, Rottenpotato, Sweetpotato, FSCan y Seatbelt. La persistencia adicional se establece a través de modificaciones del registro de Windows, tareas programadas y servicios a medida que utilizan los complementos del kit Cobalt Strike llamado Taowu.
“Para apoyar sigiloso, borran registros de eventos utilizando comandos de Wevtutil, eliminando rastros de sus acciones de los registros de seguridad, sistema y aplicaciones de Windows”, señaló Raghuprasad. “Eventualmente, ejecutan comandos de Mimikatz para descargar y exfiltrar contraseñas y hashes NTLM de la memoria en la máquina de la víctima”.
Los ataques culminan con la tripulación de piratería que roba contraseñas y hashes NTLM de los hosts infectados. Un observación posterior de los servidores de comando y control (C2) asociados con la utensilio de huelga de cobalto ha revelado que el actor de amenaza dejó los listados de directorio accesibles a través de Internet, exponiendo así el conjunto completo de herramientas y marcos adversos alojados en los servidores de la cúmulo de Alibaba.
Importante entre las herramientas se enumeran a continuación –
- Entorno de explotación del navegador (carne de res), un software Pentesting apto públicamente para ejecutar comandos en el interior del contexto del navegador
- Viper C2, un entorno modular C2 que facilita la ejecución de comandos remotos y la reproducción de cargas avíos de shell inverso de meterpreter
- Blue-Lotus, un entorno de ataques de scripts de sitios internos de JavaScript webshell (XSS) que permite la creación de cargas avíos de shell web de JavaScript para realizar ataques XSS, capturar capturas de pantalla, obtener shell inverso, robar cookies del navegador y crear nuevas cuentas en el sistema de gobierno de contenido (CMS)
“Evaluamos con una confianza moderada de que el motivo del atacante se extiende más allá de la cosecha de credenciales, en función de nuestra observación de otras actividades de explotación posteriores, como establecer la persistencia, elevar al privilegio a nivel del sistema y un camino potencial a marcos adversos, que indica la probabilidad de ataques futuros”, dijo Raghuprasad.
