文/周峻佑 | 2025-03-20發表
去年臺灣資安業者戴夫寇爾揭露PHP-CGI重大漏洞CVE-2024-4577(CVSS風險評為9.8分),今年1月傳出有人用於攻擊日本企業組織、教育及研究機構,現在有資安業者指出,駭客嘗試利用這項漏洞的情況,最近出現大幅增加的現象。
資安業者Bitdefender指出,他們在最近一個月發現嘗試利用這項漏洞的情況顯著增加,值得留意的是,臺灣是攻擊者的主要目標,相關漏洞利用嘗試的行為占54.65%,香港、巴西居次,分別是27.06%和16.39%,此外,研究人員也在日本、印度看到相關活動。這些駭客的最終目的,是利用受害伺服器挖礦,或是部署惡意軟體,以便進行後續的攻擊。
特別的是,一旦攻擊者成功利用漏洞,就會試圖竄改受害伺服器的防火牆組態,其中包含封鎖曾經發動相關漏洞攻擊的已知IP位址,這樣的情況,在過往鎖定CVE-2024-4577的資安事故未曾出現。
但駭客為何要這麼做?Bitdefender推測,最有可能是避免其他人馬也同時在相同的受害主機活動,而這樣的做法在挖礦攻擊活動相當常見,也與上述駭客竄改防火牆組態的舉動有關。不過,研究人員不排除攻擊者有其他目的,例如:想要對受害主機進行遠端控制。依照這樣的判斷來看,我們推測駭客很有可能是要壟斷對受害主機的存取,使得其他駭客無法瓜分其硬體運算資源。
而對於成功入侵的後續活動,Bitdefender根據遙測資料指出,攻擊者很有可能部署自動化指令碼、透過寄生攻擊(LOL)進行偵察,或是植入挖礦軟體XMRig、Nicehash牟利。
除了將受害主機用來挖礦,Bitdefender指出,也有植入惡意程式Quasar RAT、透過MSI安裝檔部署殭屍網路病毒,或是從FTP下載PHP指令碼並執行的情況。研究人員也看到部署遠端管理工具的現象,不排除有初始入侵掮客(IAB)或勒索軟體駭客投入漏洞利用攻擊。
線