Aktor ancaman mengeksploitasi cacat keamanan yang parah dalam PHP untuk memberikan penambang cryptocurrency dan Trojans akses jarak jauh (tikus) seperti Quasar Rat.
Kerentanan, ditugaskan pengidentifikasi CVE CVE-2024-4577, mengacu pada kerentanan injeksi argumen dalam PHP yang mempengaruhi sistem berbasis Windows yang berjalan dalam mode CGI yang dapat memungkinkan penyerang jarak jauh untuk menjalankan kode sewenang-wenang.
Perusahaan cybersecurity Bitdefender mengatakan telah mengamati lonjakan upaya eksploitasi terhadap CVE-2024-4577 sejak akhir tahun lalu, dengan konsentrasi yang signifikan dilaporkan di Taiwan (54,65%), Hong Kong (27,06%), Brasil (16,39%), Jepang (1,57%), dan India (0,33 (0,33).
Sekitar 15% dari upaya eksploitasi yang terdeteksi melibatkan pemeriksaan kerentanan dasar menggunakan perintah seperti “whoami” dan “gema
Martin Zugec, direktur solusi teknis di Bitdefender, mencatat bahwa setidaknya sekitar 5% dari serangan yang terdeteksi memuncak dalam penyebaran penambang cryptocurrency XMRIG.
“Kampanye lain yang lebih kecil melibatkan penyebaran NiceHash Miners, sebuah platform yang memungkinkan pengguna untuk menjual daya komputasi untuk cryptocurrency,” tambah Zugec. “Proses penambang disamarkan sebagai aplikasi yang sah, seperti javawindows.exe, untuk menghindari deteksi.”
Serangan lain telah ditemukan untuk mempersenjatai kekurangan dari memberikan alat akses jarak jauh seperti tikus quasar open-source, serta menjalankan file Windows Installer (MSI) berbahaya yang di-host di server jarak jauh menggunakan CMD.exe.
Dalam mungkin sesuatu yang aneh, perusahaan Rumania mengatakan juga mengamati upaya untuk memodifikasi konfigurasi firewall pada server yang rentan dengan tujuan untuk memblokir akses ke IP jahat yang diketahui terkait dengan eksploitasi.
Perilaku yang tidak biasa ini telah meningkatkan kemungkinan bahwa kelompok cryptojacking saingan bersaing untuk mengontrol sumber daya yang rentan dan mencegah mereka menargetkan mereka di bawah kendali mereka untuk kedua kalinya. Ini juga konsisten dengan pengamatan historis tentang bagaimana serangan cryptjacking diketahui mengakhiri proses penambang saingan sebelum menggunakan muatan mereka sendiri.
Perkembangan ini datang tak lama setelah Cisco Talos mengungkapkan rincian kampanye yang mempersenjatai cacat PHP dalam serangan yang menargetkan organisasi Jepang sejak awal tahun.
Pengguna disarankan untuk memperbarui instalasi PHP mereka ke versi terbaru untuk melindungi terhadap potensi ancaman.
“Karena sebagian besar kampanye telah menggunakan alat LOTL, organisasi harus mempertimbangkan membatasi penggunaan alat seperti PowerShell di dalam lingkungan untuk hanya pengguna istimewa seperti administrator,” kata Zugec.
