黑客正在利用PHP中的一個嚴重安全漏洞來傳播加密貨幣挖礦軟件和遠程訪問木馬（RAT），例如Quasar RAT。

該漏洞被分配了CVE標識符CVE-2024-4577，涉及PHP在基于Windows的系統上以CGI模式運行時的一個參數注入漏洞，可能導致遠程攻擊者執行任意代碼。

攻擊規模與地域分布

網絡安全公司Bitdefender表示，自去年年底以來，針對CVE-2024-4577的利用嘗試有所增加，主要集中在臺灣（54.65%）、香港（27.06%）、巴西（16.39%）、日本（1.57%）和印度（0.33%）。

攻擊手法與工具部署

檢測到的利用嘗試中，約15%涉及使用“whoami”和“echo <test_string>”等命令進行基本漏洞檢查。另外15%圍繞系統偵察命令展開，例如進程枚舉、網絡發現、用戶和域信息收集以及系統元數據搜集。

Bitdefender技術解決方案總監Martin Zugec指出，至少約5%的檢測攻擊最終部署了XMRig加密貨幣挖礦軟件。Zugec補充道：“另一個較小的行動涉及部署Nicehash挖礦軟件，這是一個允許用戶出售計算能力以換取加密貨幣的平臺。挖礦進程偽裝成合法應用程序，例如javawindows.exe，以逃避檢測。”

其他攻擊還利用該漏洞傳播遠程訪問工具，如開源的Quasar RAT，并通過cmd.exe執行托管在遠程服務器上的惡意Windows安裝程序（MSI）文件。

防火墻配置修改的異常行為

有趣的是，這家羅馬尼亞公司還觀察到攻擊者嘗試修改易受攻擊服務器上的防火墻配置，目的是阻止與利用相關的已知惡意IP訪問。這種不尋常的行為引發了競爭對手的加密劫持團伙爭奪對易受攻擊資源的控制權，并防止這些資源再次被針對的可能性。這也與歷史上關于加密劫持攻擊在部署自身有效載荷之前終止競爭對手挖礦進程的觀察一致。

近期相關攻擊活動

這一發現緊隨Cisco Talos披露的一項針對日本組織的攻擊活動之后，該活動自今年年初以來一直在利用PHP漏洞進行攻擊。

防護建議

建議用戶將其PHP安裝更新到最新版本，以防止潛在威脅。Zugec表示：“由于大多數攻擊活動都在使用LOTL工具，組織應考慮將環境中PowerShell等工具的使用限制為管理員等特權用戶。”