黑客利用 PHP 严重漏洞部署 Quasar RAT 和 XMRig 挖矿软件

黑客正在利用PHP中的黑客和一个严重安全漏洞来传播加密货币挖矿软件和远程访问木马（RAT），例如Quasar RAT
。利用

该漏洞被分配了CVE标识符CVE-2024-4577 ，重漏涉及PHP在基于Windows的洞部系统上以CGI模式运行时的一个参数注入漏洞，可能导致远程攻击者执行任意代码 。挖矿

攻击规模与地域分布

网络安全公司Bitdefender表示，软件自去年年底以来  ，黑客和针对CVE-2024-4577的利用利用尝试有所增加，亿华云主要集中在台湾（54.65%）、重漏香港（27.06%） 、洞部巴西（16.39%）、挖矿日本（1.57%）和印度（0.33%）。软件

攻击手法与工具部署

检测到的黑客和利用尝试中，约15%涉及使用“whoami”和“echo <test_string>”等命令进行基本漏洞检查
。利用另外15%围绕系统侦察命令展开，重漏例如进程枚举 、网络发现  、用户和域信息收集以及系统元数据搜集 。高防服务器

Bitdefender技术解决方案总监Martin Zugec指出 ，至少约5%的检测攻击最终部署了XMRig加密货币挖矿软件。Zugec补充道：“另一个较小的行动涉及部署Nicehash挖矿软件 ，这是一个允许用户出售计算能力以换取加密货币的平台 。挖矿进程伪装成合法应用程序，例如javawindows.exe，以逃避检测。源码下载”

其他攻击还利用该漏洞传播远程访问工具 
，如开源的Quasar RAT ，并通过cmd.exe执行托管在远程服务器上的恶意Windows安装程序（MSI）文件 。

防火墙配置修改的异常行为

有趣的是 ，这家罗马尼亚公司还观察到攻击者尝试修改易受攻击服务器上的防火墙配置，服务器租用目的是阻止与利用相关的已知恶意IP访问
。这种不寻常的行为引发了竞争对手的加密劫持团伙争夺对易受攻击资源的控制权，并防止这些资源再次被针对的可能性。这也与历史上关于加密劫持攻击在部署自身有效载荷之前终止竞争对手挖矿进程的免费模板观察一致。

近期相关攻击活动

这一发现紧随Cisco Talos披露的一项针对日本组织的攻击活动之后 ，该活动自今年年初以来一直在利用PHP漏洞进行攻击 。

防护建议

建议用户将其PHP安装更新到最新版本，以防止潜在威胁。Zugec表示 ：“由于大多数攻击活动都在使用LOTL工具 ，组织应考虑将环境中PowerShell等工具的使用限制为管理员等特权用户 。”

源码库