根據Cisco Talos的最新調查報告,針對日本組織的精密網路攻擊行動已經持續數月,
主要攻擊目標包括日本的科技、電信、娛樂、教育及電子商務等產業。
資安研究員Chetan Raghuprasad在近日發布的技術報告中指出,攻擊者利用漏洞CVE-2024-4577,這是Windows系統上PHP-CGI實作中的遠端程式碼執行(RCE)缺陷,以獲取受害機器的初始存取權限。攻擊活動據信從2025年1月開始,至今仍在進行中。
攻擊手法與技術細節
攻擊者主要利用一個公開的Python漏洞利用腳本「
PHP-CGI_CVE-2024-4577_RCE.py」測試目標系統的脆弱性。一旦攻擊成功,他們就會向受害者的機器注入PowerShell命令,從其指揮控制(C2)伺服器下載惡意載荷。
這次攻擊的關鍵階段包括:
- 初始存取:利用PHP-CGI漏洞(CVE-2024-4577)部署Cobalt Strike反向HTTP shell 程式碼,確保持續的遠端存取。
- 權限提升:使用JuicyPotato、RottenPotato和SweetPotato等漏洞利用工具取得系統權限。
- 持久性機制:透過修改註冊表、排程任務和系統程序建立,確保持續存取。
- 規避偵測:使用wevtutil命令清除Windows事件日誌,移除系統、安全和應用程式日誌中的行動痕跡。
- 網路偵察:利用fscan.exe和Seatbelt.exe等工具進行內部網路掃描。
- 憑證竊取:透過Mimikatz從記憶體中傾倒並竊取密碼和NTLM雜湊值。
此外,攻擊者利用Ladon.exe工具繞過Windows使用者帳戶控制(UAC)機制,並透過SharpTask.exe、SharpHide.exe及SharpStay.exe等惡意程式修改系統註冊表,以植入長期存在的後門服務。
雲端駭客工具的大量部署
調查人員發現,攻擊者利用阿里雲上託管的容器部署了預先配置的安裝腳本,從中下載各種攻擊性安全工具。這些工具包括:
- Blue-Lotus:一種JavaScript網頁殼層工具,專為跨站腳本(XSS)和瀏覽器漏洞利用而設計,可用於執行XSS攻擊、螢幕截圖、獲取反向殼層、竊取瀏覽器cookies,甚至在內容管理系統(CMS)中建立新帳戶。
- BeEF:瀏覽器漏洞利用框架,允許通過劫持的網頁瀏覽器執行命令。
- Viper C2:模組化控制框架,支援在多個平台上執行惡意載荷。
雖然某些攻擊策略與先前記錄的「You Dun」(又稱「暗雲盾」) 駭客組織的攻擊手法相似,包括Cobalt Strike的使用、權限提升技術和憑證收集策略,但目前尚未確定明確的攻擊歸屬。
防禦建議
Cisco Talos的安全專家建議組織採取以下措施來防禦類似攻擊:
- 立即修補系統以修復CVE-2024-4577漏洞
- 使用群組政策限制PowerShell執行
- 監控日誌是否有未經授權的註冊表修改
- 部署端點偵測和回應(EDR)解決方案來偵測Cobalt Strike活動
研究人員表示以中等信心度評估認為,攻擊者的動機不僅僅是憑證收集。根據我們觀察到的其他後利用活動,如建立持久性、提升至SYSTEM級權限以及可能存取對抗性框架,這表明未來可能會發生進一步攻擊。
這起事件再次證實了一個日益明顯的趨勢:駭客組織正大量利用對外公開的應用程式作為入侵的跳板。企業組織應時刻提高警覺,密切關注這類不斷演進的攻擊手法,特別是那些在營運中廣泛使用網頁應用程式和PHP技術的機構更應加強防禦措施。