แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ความปลอดภัยระดับ Critical ใน PHP เพื่อติดตั้งโปรแกรมขุดสกุลเงินดิจิทัล และโทรจันการเข้าถึงระยะไกล (RATs) เช่น Quasar RAT
ช่องโหว่นี้มีหมายเลข CVE-2024-4577 ซึ่งเป็นช่องโหว่ Argument Injection ใน PHP บนระบบ Windows ที่รันในโหมด CGI โดยทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้
บริษัทด้านความปลอดภัยทางไซเบอร์ Bitdefender ระบุว่า มีความพยายามโจมตีโดยใช้ช่องโหว่ CVE-2024-4577 เพิ่มขึ้นอย่างมากตั้งแต่ปลายปีที่แล้ว โดยมีการโจมตีมากที่สุดในไต้หวัน (54.65%), ฮ่องกง (27.06%), บราซิล (16.39%), ญี่ปุ่น (1.57%) และอินเดีย (0.33%)
ประมาณ 15% ของความพยายามโจมตีโดยใช้ช่องโหว่ที่ตรวจพบ เกี่ยวข้องกับการตรวจสอบช่องโหว่พื้นฐาน โดยใช้คำสั่งเช่น "whoami" และ "echo <test_string>" อีก 15% เกี่ยวข้องกับการตรวจสอบระบบ ซึ่งรวมถึงการตรวจสอบ Process Enumeration, การค้นหาเครือข่าย, ข้อมูลผู้ใช้ และโดเมน และการเก็บข้อมูลของระบบ
Martin Zugec ผู้อำนวยการฝ่ายโซลูชันทางเทคนิคของ Bitdefender เปิดเผยว่า อย่างน้อย 5% ของการโจมตีที่ตรวจพบ นำไปสู่การติดตั้ง XMRig เครื่องขุดสกุลเงินดิจิทัล
Zugec เสริมว่า "อีกหนึ่งแคมเปญเล็ก ๆ ที่เกี่ยวข้องกับการติดตั้ง Nicehash Miners ซึ่งเป็นแพลตฟอร์มที่ช่วยให้ผู้ใช้งานสามารถขาย computing power เพื่อแลกกับคริปโตฯ"
"กระบวนการขุดถูกปลอมแปลงเป็นแอปพลิเคชันที่ดูเหมือนถูกต้องตามปกติ เช่น javawindows.exe เพื่อหลีกเลี่ยงการตรวจจับ"
การโจมตีอื่น ๆ ที่พบ ได้มีการใช้ช่องโหว่เพื่อติดตั้งเครื่องมือสำหรับเข้าถึงจากระยะไกล เช่น Quasar RAT ซึ่งเป็นโอเพ่นซอร์ส และสามารถรันไฟล์ติดตั้ง Windows ที่เป็นอันตราย (MSI) ที่โฮสต์อยู่บนเซิร์ฟเวอร์ระยะไกลโดยใช้ cmd.exe
บริษัทหนึ่งในโรมาเนียระบุว่า ยังพบความพยายามในการปรับแต่งการตั้งค่าไฟร์วอลล์บนเซิร์ฟเวอร์ที่มีช่องโหว่ โดยมีเป้าหมายเพื่อบล็อกการเข้าถึง IP ที่เป็นอันตรายที่รู้จัก ซึ่งเกี่ยวข้องกับการโจมตีดังกล่าว
พฤติกรรมที่ผิดปกตินี้ได้เพิ่มความเป็นไปได้ว่ากลุ่ม Cryptojacking คู่แข่ง อาจกำลังแข่งขันกันเพื่อควบคุมทรัพยากรที่มีความเสี่ยง และป้องกันไม่ให้กลุ่มอื่นโจมตีทรัพยากรที่พวกเขาควบคุมได้อีกครั้ง ซึ่งยังสอดคล้องกับประวัติที่ผ่านมาเกี่ยวกับวิธีการที่ผู้โจมตีแบบ Cryptojacking มักจะยุติกระบวนการขุดของคู่แข่งก่อนที่จะติดตั้ง Payload ของตัวเอง
การพัฒนานี้เกิดขึ้นไม่นานหลังจากที่ Cisco Talos ได้เปิดเผยรายละเอียดของแคมเปญที่ใช้ประโยชน์จากช่องโหว่ PHP ซึ่งได้โจมตีองค์กรต่าง ๆ ในประเทศญี่ปุ่นมาตั้งแต่ต้นปี
ผู้ใช้งานได้รับคำแนะนำให้อัปเดตการติดตั้ง PHP ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้น
Zugec สรุปว่า "เนื่องจากแคมเปญส่วนใหญ่ใช้เครื่องมือ Living off the land (LOTL) องค์กรต่าง ๆ ควรพิจารณาจำกัดการใช้เครื่องมือ เช่น PowerShell ภายในสภาพแวดล้อมขององค์กรให้เฉพาะผู้ใช้งานที่มีสิทธิ์พิเศษ เช่น ผู้ดูแลระบบเท่านั้น"
ที่มา : thehackernews
You must be logged in to post a comment.