استغلال ثغرة PHP-CGI لتنفيذ هجمات على قطاعات التكنولوجيا والاتصالات والتجارة الإلكترونية في اليابان

 تم الكشف عن حملة خبيثة تستهدف بشكل رئيسي المنظمات في اليابان منذ يناير 2025، حيث استغل المهاجمون ثغرة أمنية تعرف باسم CVE-2024-4577، وهي ثغرة تنفيذ أكواد عن بُعد (RCE) في تطبيق PHP-CGI على أنظمة ويندوز. وفقًا لتقرير تقني نشره الباحث شيتان راغوبراساد من Cisco Talos، تم استخدام هذه الثغرة للحصول على وصول أولي إلى أجهزة الضحايا.

وأضاف راغوبراساد: “يقوم المهاجمون باستخدام إضافات من مجموعة Cobalt Strike المتاحة علنًا، والمعروفة باسم ‘TaoWu’، لأنشطة ما بعد الاستغلال.”

القطاعات المستهدفة

تشمل الأهداف شركات في قطاعات التكنولوجيا، والاتصالات، والترفيه، والتعليم، والتجارة الإلكترونية في اليابان.

آلية الهجوم

تبدأ العملية باستغلال الثغرة CVE-2024-4577 للحصول على وصول أولي، ثم يتم تشغيل نصوص PowerShell لتنفيذ حمولة Cobalt Strike reverse HTTP shellcode، مما يمنح المهاجمين وصولًا دائمًا عن بُعد إلى الجهاز المخترق.

أنشطة ما بعد الاختراق

بعد ذلك، يتم تنفيذ عمليات استطلاع، وتصعيد الامتيازات، والحركة الجانبية باستخدام أدوات مثل JuicyPotato، وRottenPotato، وSweetPotato، وFscan، وSeatbelt. كما يتم تعزيز الثبات عبر تعديلات سجل ويندوز، والمهام المجدولة، وخدمات مخصصة باستخدام إضافات مجموعة Cobalt Strike المسماة TaoWu.

وللحفاظ على التخفي، يقوم المهاجمون بمسح سجلات الأحداث باستخدام أوامر wevtutil، مما يزيل أي آثار لأفعالهم من سجلات أمان ويندوز، والنظام، والتطبيقات. وأخيرًا، يتم تنفيذ أوامر Mimikatz لاستخراج كلمات المرور وNTLM hashes من ذاكرة الجهاز الضحية.

سرقة البيانات

تنتهي الهجمات بسرقة كلمات المرور وNTLM hashes من الأجهزة المصابة. كما كشف تحليل إضافي لخوادم التحكم والسيطرة (C2) المرتبطة بأداة Cobalt Strike أن المهاجمين تركوا قوائم الدلائل متاحة عبر الإنترنت، مما كشف عن مجموعة كاملة من الأدوات والإطارات العدائية المستضافة على خوادم Alibaba Cloud.

الأدوات المستخدمة

من بين الأدوات البارزة التي تم اكتشافها:

1. Browser Exploitation Framework (BeEF): أداة اختبار اختراق متاحة علنًا لتنفيذ الأوامر في سياق المتصفح.
2. Viper C2: إطار عمل نمطي للتحكم والسيطرة يسهل تنفيذ الأوامر عن بُعد وإنشاء حمولات Meterpreter reverse shell.
3. Blue-Lotus: إطار عمل لاختبارات JavaScript webshell وهجمات XSS، مما يتيح إنشاء حمولات JavaScript web shell لتنفيذ هجمات XSS، والتقاط لقطات الشاشة، والحصول على reverse shell، وسرقة ملفات تعريف الارتباط من المتصفح، وإنشاء حسابات جديدة في أنظمة إدارة المحتوى (CMS).

دوافع الهجوم

قال راغوبراساد: “نقدر بثقة معتدلة أن دوافع المهاجمين تتجاوز مجرد جمع بيانات الاعتماد، بناءً على ملاحظتنا لأنشطة ما بعد الاستغلال، مثل تعزيز الثبات، ورفع الامتيازات إلى مستوى SYSTEM، وإمكانية الوصول إلى إطارات عمل عدائية، مما يشير إلى احتمال حدوث هجمات مستقبلية.”