2024年6月6日,奇安信CERT监测到官方修复PHP CGI Windows平台特定语系(简体中文936/繁体中文950/日文932)远程代码执行漏洞(CVE-2024-4577),未经身份认证的远程攻击者可以通过特定的字符序列绕过此前CVE-2012-1823的防护,通过参数注入在配置了cgi选项的远程PHP服务器上执行任意代码,从而导致远程代码执行、敏感信息泄露或造成服务器崩溃。需要注意的是cgi选项默认在xmapp中开启。
该漏洞在网上公开披露后,奇安信威胁情报红雨滴团队第一时间进行了跟进,发现自6月7号该漏洞细节披露后,从8号开始出现了多起以该漏洞为攻击向量的攻击事件。
事件一
最早的攻击活动时间为2024-06-08 13:20:29,未知攻击者利用CVE-2024-4577漏洞向服装行业发起攻击。攻击者在xampp\htdocs\目录下上传名为updateout.php的webshell小马
然后上传另一个名为xxl.php的webshell
Webshell连接成功后从远程服务器下载payload (http://110.41.189.19:8000/ttt.exe)
下发免杀的插件api.exe用于添加用户,方便后续RDP登录,添加的用户信息如下:
guest zxc123...
事件二
2024-06-08 19:40:31,勒索软件分发商利用CVE-2024-4577漏洞向金融、商务服务业发起攻击,启动mshta.exe执行远程hta文件,但是被天擎拦截,经过分析后续payload为TellYouThePass勒索软件。
http://88.218.76.13/dd3.hta
http://88.218.76.13/d3.hta
事件三
2024-06-08 20:45:06,Lucifer DDoS团伙利用CVE-2024-4577漏洞向医疗行业发起攻击,执行恶意的powershell脚本
执行的bat内容如下:
下载挖矿组件,矿池地址如下:
auto.c3pool.org:443
整个漏洞的相关时间线如下所示:
2024-06-06:Devco blog对该漏洞进行了披露,
2024-06-07:奇安信cert完成复现并对外推送安全公告
twitter上开始出现exp利用
2024-06-08:针对xampp默认配置的exp公开
2024-06-08:下午13:20:29,奇安信威胁情报红雨滴团队捕获发现第一个在野攻击
IOC
未知攻击C2:
http://110.41.189.19:8000/ttt.exe
TellYouThePass勒索C2:
http://88.218.76.13/dd3.hta
http://88.218.76.13/d3.hta
Lucifer DDoS挖矿组件C2:
http://img6.tuwan.com/0a977469-c1ac-4e94-beca-1b89d18ab3bf.txt/test.bat
http://img6.tuwan.com/9e9cdf6b-8471-4d2c-b422-8de1221d37f6.txt/test.bat
http://img6.tuwan.com/0a977469-c1ac-4e94-beca-1b89d18ab3bf.txt/xmrig.exe
http://img6.tuwan.com/0a977469-c1ac-4e94-beca-1b89d18ab3bf.txt/configjashgddfh.json
http://img6.tuwan.com/0a977469-c1ac-4e94-beca-1b89d18ab3bf.txt/Wi.png
auto.c3pool.org:443
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】