Los actores de amenaza están explotando un defecto de seguridad severo en PHP para entregar mineros de criptomonedas y troyanos de acceso remoto (ratas) como Quasar Rat.
La vulnerabilidad, asignada al identificador CVE CVE-2024-4577, se refiere a una vulnerabilidad de inyección de argumentos en PHP que afectan los sistemas basados en Windows en modo CGI que podrían permitir a los atacantes remotos ejecutar código arbitrario.
La compañía de ciberseguridad Bitdefender dijo que ha observado un aumento en los intentos de explotación contra CVE-2024-4577 desde finales del año pasado, con una concentración significativa reportada en Taiwán (54.65%), Hong Kong (27.06%), Brasil (16.39%), Japón (1.57%) e India (0.33%).
Alrededor del 15% de los intentos de explotación detectados implican verificaciones básicas de vulnerabilidad utilizando comandos como «Whoami» y «Echo
Martin Zugec, director de soluciones técnicas en Bitdefender, señaló que al menos aproximadamente el 5% de los ataques detectados culminaron en el despliegue del minero de criptomonedas XMRIG.
«Otra campaña más pequeña involucró la implementación de mineros de Nicehash, una plataforma que permite a los usuarios vender energía informática para criptomonedas», agregó Zugec. «El proceso minero se disfrazó de una aplicación legítima, como javawindows.exe, para evadir la detección».
Se ha encontrado que otros ataques arman la deficiencia de la entrega de herramientas de acceso remoto como la rata cuásar de código abierto, así como ejecutan archivos de instalador de Windows (MSI) alojados en servidores remotos con cmd.exe.
Quizás en un giro curioso, la compañía rumana dijo que también observó intentos de modificar las configuraciones de firewall en servidores vulnerables con el objetivo de bloquear el acceso a IP maliciosas conocidas asociadas con la exploit.
Este comportamiento inusual ha aumentado la posibilidad de que los grupos de criptojacking rivales compitan por el control sobre los recursos susceptibles y eviten que se dirigan a aquellos bajo su control por segunda vez. También es consistente con las observaciones históricas sobre cómo se sabe que los ataques de criptyinging terminan los procesos mineros rivales antes de desplegar sus propias cargas útiles.
El desarrollo se produce poco después de que Cisco Talos revelara detalles de una campaña que armaba el defecto de PHP en ataques dirigidos a organizaciones japonesas desde el comienzo del año.
Se aconseja a los usuarios que actualicen sus instalaciones de PHP a la última versión para salvaguardar contra posibles amenazas.
«Dado que la mayoría de las campañas han estado utilizando herramientas LOTL, las organizaciones deberían considerar limitar el uso de herramientas como PowerShell dentro del entorno solo para usuarios privilegiados como los administradores», dijo Zugec.