PHP-CGI RCE Flaw Exploited in Attacks on Japan’s Tech, Telecom, and E-Commerce Sectors
2025/03/07 TheHackerNews — 2025年1月以降から、日本の組織を主な標的とする悪意のキャンペーンが確認されている。現時点において、その背後にいる脅威アクターの正体は不明だ。2025年3月6日に公開された技術レポートで、「攻撃者は、Windows 上の PHP-CGI 実装に存在するリモート・コード実行 (RCE) の脆弱性 CVE-2024-4577 を悪用し、被害者マシンでイニシャル・アクセスを獲得していた。続いて、一般に公開されている Cobalt Strike kit である TaoWu のプラグインを利用し、侵害後の攻撃活動を行っていた」と、Cisco Talos の研究員である Chetan Raghuprasad は述べている。
この悪意の活動の標的は日本企業であり、その分野はテクノロジー/通信/エンターテインメント/教育/e コマースなどにわたる。
攻撃のフローは、脆弱性 CVE-2024-4577 の悪用による、イニシャル・アクセスの獲得から始まる。このアクセスに成功した攻撃者は、PowerShell スクリプトを実行して Cobalt Strike のリバース HTTP シェルコード・ペイロードを展開し、侵害したエンドポイントへの持続的なリモート・アクセスを確立する。
次の段階で、この攻撃者は、偵察/特権昇格/横移動などを実行する。これらの活動は、JuicyPotato/RottenPotato/SweetPotato/Fscan/Seatbelt などのツールを用いて実行される。続いて、Windows レジストリの変更/スケジュールされたタスクに加えて、TaoWu と呼ばれる Cobalt Strike キットのプラグインを使用したカスタム・サービスなどにより、持続性が確立されていく。
Raghuprasad は、「この攻撃者は、ステルス性を維持するために、wevtutil コマンドを使用してイベント・ログを消去する。さらに、Windows のセキュリティ/システム/アプリケーションなどのログから、自分たちの活動の痕跡を消している。そして、最終的には、Mimikatz コマンドを実行して、被害者のマシンのメモリからパスワードと NTLM ハッシュをダンプし、外部に流出させる」と語っている。
この攻撃の最終目的は、感染させたホストからパスワードと NTLM ハッシュを盗むことである。さらに、Cobalt Strike ツールに関連する C2 (command-and-control) サーバを分析したところ、Alibaba クラウド上にホストされたツールやフレームワークのディレクトリ・リストを、攻撃者が公開状態にしていたことが判明した。
特筆すべきツールとして、以下のものが確認されている:
- BeEF (Browser Exploitation Framework):ブラウザのコンテキスト内でコマンドを実行するためのペンテスト・ツール。
- Viper C2:モジュール式の C2 フレームワークであり、リモート・コマンド実行や Meterpreter リバースシェル・ペイロードの生成を容易にする。
- Blue-Lotus: JavaScript Web シェル を活用する XSS 攻撃フレームワーク。スクリーンショットの取得/リバースシェルの取得/ブラウザ・クッキーの窃取/CMS への不正アカウント作成などの機能を提供する。
Chetan Raghuprasad は、「この攻撃者は、脆弱性 CVE-2024-4577 を悪用した後に、持続的な接続の確立/SYSTEM レベルの特権の昇格/さらなる攻撃フレームワークへのアクセスなどの活動を行っていた。そのため、彼らの目的は、認証情報の窃取に留まらない可能性があると、中程度の確信をもって評価している。彼らは、将来的に、さらなる攻撃を展開する可能性が高いと考えられる」と述べている。
日本の企業が狙われるという展開は、万博の開幕が近づく中で、当然のことだと思えてきます。さまざまな事柄が、スケジュール通りに運ばないと、さまざまな所で運営に支障をきたすことになる、このタイミングは、サーバー犯罪者にとって、狙い所となります。よろしければ、CVE-2024-4577 で検索と、Japan で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.