PHP已知CGI漏洞出現攻擊行動，駭客針對日本科技公司、電信業者、遊戲娛樂產業而來[轉載自IThome]

文/周峻佑 | 2025-03-10發表

去年6月臺灣資安業者戴夫寇爾揭露PHP程式語言重大層級漏洞CVE-2024-4577，此漏洞存在於CGI參數而有機會被用於注入攻擊，使得攻擊者能藉此用於遠端執行任意程式碼（RCE），如今傳出有人將此漏洞用於攻擊日本。

思科旗下的威脅情報團隊Talos在今年1月發現新一波漏洞攻擊行動，此波威脅主要針對日本的科技、電信業者、娛樂、教育及研究機構而來，但也有電子商城網站受害的情形。這些攻擊行動裡，駭客運用CVE-2024-4577取得初始入侵管道，然後利用能公開取得的Cobalt Strike外掛程式「檮杌（TaoWu）」來進行後續活動，目的是搜刮受害主機的帳密資料。

思科Talos資安研究員Chetan Raghuprasad指出，駭客先是利用CVE-2024-4577試圖入侵目標主機，一旦得逞，他們就會執行PowerShell指令碼，啟動Cobalt Strike的反向HTTP Shell Code，建立遠端存取受害主機的管道。

接著，這些駭客就會利用JuicyPotato、RottenPotato、SweetPotato等工具進行權限提升，從而以SYSTEM層級活動，然後使用「檮杌」建立惡意系統服務，以便持續在受害主機活動。

為了不讓攻擊行動東窗事發，駭客濫用命令列工具wevtutil執行寄生攻擊（LOLBin），刪除作業系統及應用程式的事件記錄。此外，駭客也運用多種可公開取得的工具從事各式活動，例如：他們透過內網掃描工具fscan.exe及主機資安組態檢查工具Seatbelt.exe進行偵察，找出可以橫向程動的標的，以及使用群組原則物件奪權工具SharpGPOAbuse.exe企圖透過群組原則物件（GPO），在整個網路環境執行惡意PowerShell指令碼，最終以密碼擷取器Mimikatz轉存帳密資料及NTLM密碼雜湊值。

除此之外，駭客也同時使用其他工具，包含可透過瀏覽器執行命令的框架Browser Exploitation Framework（BeEF）、模組化C2框架Viper C2，以及跨網站指令碼（XSS）攻擊框架Blue-Lotus。雖然研究人員尚未確定攻擊者的身分，但駭客使用阿里雲架設Cobalt Strike伺服器，並使用中國的DNS服務114DNS，這代表駭客很有可能來自中國。