Ciberseguridad 360 | Vulnerabilidad RCE de PHP-CGI explotado en ataques

Se ha atribuido a actores de amenazas de procedencia desconocida una campa�a maliciosa dirigida predominantemente a organizaciones en Jap�n desde enero de 2025.

"El atacante ha explotado la vulnerabilidad CVE-2024-4577, un defecto de ejecuci�n remota de c�digo (RCE) en la implementaci�n PHP-CGI de PHP en Windows, para obtener acceso inicial a las m�quinas v�ctimas", dijo el investigador de Cisco Talos Chetan Raghuprasad en un informe t�cnico publicado el jueves.

"El atacante utiliza plugins del kit Cobalt Strike 'TaoWu', disponible p�blicamente, para actividades de explotaci�n posterior".

Los objetivos de la actividad maliciosa abarcan empresas de los sectores de la tecnolog�a, las telecomunicaciones, el entretenimiento, la educaci�n y el comercio electr�nico en Jap�n.

Todo comienza con los actores de la amenaza explotando la vulnerabilidad CVE-2024-4577 para obtener acceso inicial y ejecutar scripts PowerShell para ejecutar el payload HTTP shellcode inversa de Cobalt Strike para concederse acceso remoto persistente al endpoint comprometido.

El siguiente paso consiste en llevar a cabo el reconocimiento, la escalada de privilegios y el movimiento lateral utilizando herramientas como JuicyPotato, RottenPotato, SweetPotato, Fscan y Seatbelt. La persistencia adicional se establece a trav�s de modificaciones del Registro de Windows, tareas programadas y servicios a medida utilizando los plugins del kit Cobalt Strike llamado TaoWu.

"Para mantener el sigilo, borran los registros de eventos mediante comandos wevtutil, eliminando los rastros de sus acciones de los registros de seguridad, sistema y aplicaciones de Windows", se�ala Raghuprasad. "Finalmente, ejecutan comandos Mimikatz para volcar y exfiltrar contrase�as y hashes NTLM de la memoria de la m�quina de la v�ctima".

Los ataques culminan con el robo de contrase�as y hashes NTLM de los hosts infectados. Un an�lisis m�s detallado de los servidores de mando y control (C2) asociados a la herramienta Cobalt Strike ha revelado que el actor de la amenaza dej� los listados de directorios accesibles a trav�s de Internet, exponiendo as� todo el conjunto de herramientas y marcos de adversarios alojados en los servidores en la nube de Alibaba.

A continuaci�n se enumeran algunas de las herramientas m�s destacadas:

Browser Exploitation Framework (BeEF), un software de pentesting disponible p�blicamente para ejecutar comandos en el contexto del navegador

Viper C2, un marco modular C2 que facilita la ejecuci�n remota de comandos y la generaci�n de payloads de shell inversa Meterpreter.

Blue-Lotus, un marco de ataque JavaScript webshell cross-site scripting (XSS) que permite la creaci�n de payloads JavaScript web shell para realizar ataques XSS, capturar pantallas, obtener reverse shell, robar cookies del navegador y crear nuevas cuentas en el Sistema de Gesti�n de Contenidos (CMS)

"Evaluamos con una confianza moderada que el motivo del atacante va m�s all� de la simple recolecci�n de credenciales, bas�ndonos en nuestra observaci�n de otras actividades posteriores a la explotaci�n, como el establecimiento de la persistencia, la elevaci�n a privilegios de nivel SYSTEM y el acceso potencial a marcos adversarios, lo que indica la probabilidad de futuros ataques", dijo Raghuprasad.

Fuente: thehackernews