https://www.informationsecurity.com.tw/seminar/2025_Digicentre/
https://secutech.tw.messefrankfurt.com/taipei/zh-tw/programme-events/AIoT_SecurityForum.html

新聞

駭客利用PHP-CGI漏洞鎖定日本企業發動Cobalt Strike攻擊

2025 / 03 / 07
編輯部
駭客利用PHP-CGI漏洞鎖定日本企業發動Cobalt Strike攻擊
根據Cisco Talos的最新調查報告,針對日本組織的精密網路攻擊行動已經持續數月,主要攻擊目標包括日本的科技、電信、娛樂、教育及電子商務等產業。

資安研究員Chetan Raghuprasad在近日發布的技術報告中指出,攻擊者利用漏洞CVE-2024-4577,這是Windows系統上PHP-CGI實作中的遠端程式碼執行(RCE)缺陷,以獲取受害機器的初始存取權限。攻擊活動據信從2025年1月開始,至今仍在進行中。

攻擊手法與技術細節

攻擊者主要利用一個公開的Python漏洞利用腳本「PHP-CGI_CVE-2024-4577_RCE.py」測試目標系統的脆弱性。一旦攻擊成功,他們就會向受害者的機器注入PowerShell命令,從其指揮控制(C2)伺服器下載惡意載荷。

這次攻擊的關鍵階段包括:
  • 初始存取:利用PHP-CGI漏洞(CVE-2024-4577)部署Cobalt Strike反向HTTP shell 程式碼,確保持續的遠端存取。
  • 權限提升:使用JuicyPotato、RottenPotato和SweetPotato等漏洞利用工具取得系統權限。
  • 持久性機制:透過修改註冊表、排程任務和系統程序建立,確保持續存取。
  • 規避偵測:使用wevtutil命令清除Windows事件日誌,移除系統、安全和應用程式日誌中的行動痕跡。
  • 網路偵察:利用fscan.exe和Seatbelt.exe等工具進行內部網路掃描。
  • 憑證竊取:透過Mimikatz從記憶體中傾倒並竊取密碼和NTLM雜湊值。
此外,攻擊者利用Ladon.exe工具繞過Windows使用者帳戶控制(UAC)機制,並透過SharpTask.exe、SharpHide.exe及SharpStay.exe等惡意程式修改系統註冊表,以植入長期存在的後門服務。

雲端駭客工具的大量部署

調查人員發現,攻擊者利用阿里雲上託管的容器部署了預先配置的安裝腳本,從中下載各種攻擊性安全工具。這些工具包括:
  • Blue-Lotus:一種JavaScript網頁殼層工具,專為跨站腳本(XSS)和瀏覽器漏洞利用而設計,可用於執行XSS攻擊、螢幕截圖、獲取反向殼層、竊取瀏覽器cookies,甚至在內容管理系統(CMS)中建立新帳戶。
  • BeEF:瀏覽器漏洞利用框架,允許通過劫持的網頁瀏覽器執行命令。
  • Viper C2:模組化控制框架,支援在多個平台上執行惡意載荷。
雖然某些攻擊策略與先前記錄的「You Dun」(又稱「暗雲盾」) 駭客組織的攻擊手法相似,包括Cobalt Strike的使用、權限提升技術和憑證收集策略,但目前尚未確定明確的攻擊歸屬。

防禦建議

Cisco Talos的安全專家建議組織採取以下措施來防禦類似攻擊:
  • 立即修補系統以修復CVE-2024-4577漏洞
  • 使用群組政策限制PowerShell執行
  • 監控日誌是否有未經授權的註冊表修改
  • 部署端點偵測和回應(EDR)解決方案來偵測Cobalt Strike活動
研究人員表示以中等信心度評估認為,攻擊者的動機不僅僅是憑證收集。根據我們觀察到的其他後利用活動,如建立持久性、提升至SYSTEM級權限以及可能存取對抗性框架,這表明未來可能會發生進一步攻擊。

這起事件再次證實了一個日益明顯的趨勢:駭客組織正大量利用對外公開的應用程式作為入侵的跳板。企業組織應時刻提高警覺,密切關注這類不斷演進的攻擊手法,特別是那些在營運中廣泛使用網頁應用程式和PHP技術的機構更應加強防禦措施。