去年6月台湾安全企业戴夫寇尔披露PHP程序语言重大层级漏洞CVE-2024-4577,此漏洞存在于CGI参数而有机会被用于注入攻击,使得攻击者能借此用于远程执行任意程序代码(RCE),如今传出有人将此漏洞用于攻击日本。
思科旗下的威胁情报团队Talos在今年1月发现新一波漏洞攻击行动,此波威胁主要针对日本的科技、电信企业、娱乐、教育及研究机构而来,但也有电子商城网站受害的情形。这些攻击行动里,黑客运用CVE-2024-4577取得初始入侵渠道,然后利用能公开取得得Cobalt Strike插件程序“梼杌(TaoWu)”来进行后续活动,目的是抓取受害主机的帐密数据。
思科Talos安全研究员Chetan Raghuprasad指出,黑客先是利用CVE-2024-4577试图入侵目标主机,一旦得逞,他们就会执行PowerShell脚本,启动Cobalt Strike的反向HTTP Shell Code,创建远程访问受害主机的渠道。
接着,这些黑客就会利用JuicyPotato、RottenPotato、SweetPotato等工具进行权限提升,从而以SYSTEM层级活动,然后使用“梼杌”创建恶意系统服务,以便持续在受害主机活动。
为了不让攻击行动东窗事发,黑客滥用命令行工具wevtutil执行寄生攻击(LOLBin),删除操作系统及应用程序的事件记录。此外,黑客也运用多种可公开取得的工具从事各式活动,例如:他们通过内网扫描工具fscan.exe及主机安全组态检查工具Seatbelt.exe进行侦察,找出可以横向程动的标的,以及使用群组原则对象夺权工具SharpGPOAbuse.exe企图通过群组原则对象(GPO),在整个网络环境执行恶意PowerShell脚本,最终以密码截取器Mimikatz转存帐密数据及NTLM密码散列值。
除此之外,黑客也同时使用其他工具,包含可通过浏览器执行命令的框架Browser Exploitation Framework(BeEF)、模块化C2框架Viper C2,以及跨网站脚本(XSS)攻击框架Blue-Lotus。虽然研究人员尚未确定攻击者的身份,但黑客使用阿里云架设Cobalt Strike服务器,并使用中国的DNS服务114DNS,这代表黑客很有可能来自中国。
