Lỗ hổng nghiêm trọng trên PHP bị khai thác phát tán Quasar RAT và XMRig Miner

Theo trang The Hacker News, lỗ hổng này được gán mã CVE-2024-4577, liên quan đến việc tiêm tham số (argument injection) trong PHP trên các hệ thống Windows chạy ở chế độ CGI (Common Gateway Interface). Theo các chuyên gia bảo mật, lỗ hổng này có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý, gây nguy cơ lớn đối với các hệ thống chưa được cập nhật bản vá.

Kẻ tấn công đang khai thác lỗ hổng bảo mật nghiêm trọng trong PHP để phát tán các chương trình đào tiền điện tử và trojan truy cập từ xa. (Ảnh: The Hacker News)

Công ty an ninh mạng Bitdefender cho biết đã ghi nhận sự gia tăng mạnh mẽ các cuộc tấn công khai thác lỗ hổng CVE-2024-4577 từ cuối năm ngoái. Trong đó, các cuộc tấn công chủ yếu tập trung tại Đài Loan (54,65%), Hồng Kông (27,06%), Brazil (16,39%), Nhật Bản (1,57%) và Ấn Độ (0,33%).

Theo thống kê, khoảng 15% cuộc khai thác phát hiện được chỉ nhằm kiểm tra lỗ hổng, sử dụng các lệnh cơ bản như whoami và echo <test_string>. Một phần khác cũng chiếm khoảng 15%, tập trung vào việc trinh sát hệ thống, thu thập thông tin về tiến trình, mạng, người dùng, miền và các siêu dữ liệu liên quan.

Theo ông Martin Zugec - Giám đốc giải pháp kỹ thuật tại Bitdefender, khoảng 5% các cuộc tấn công được ghi nhận đã triển khai thành công XMRig – một phần mềm đào tiền mã hóa nổi tiếng.

Bên cạnh đó, một chiến dịch nhỏ hơn cũng được phát hiện khi sử dụng nền tảng Nicehash để khai thác tiền ảo. Đáng chú ý, quy trình khai thác này được ngụy trang thành các ứng dụng hợp pháp như javawindows.exe để tránh bị phát hiện.

Không chỉ dừng lại ở việc triển khai phần mềm đào tiền ảo, tin tặc còn lợi dụng lỗ hổng để phát tán công cụ truy cập từ xa Quasar RAT – một phần mềm mã nguồn mở có khả năng điều khiển máy tính từ xa. Ngoài ra, các cuộc tấn công cũng ghi nhận việc sử dụng các tệp cài đặt độc hại (.MSI) lưu trữ trên máy chủ từ xa và thực thi bằng cmd.exe.

Một diễn biến bất thường khác cũng được Bitdefender phát hiện khi một số kẻ tấn công tìm cách sửa đổi cấu hình tường lửa trên các máy chủ bị lây nhiễm nhằm chặn truy cập từ các địa chỉ IP độc hại liên quan đến khai thác lỗ hổng này. Điều này có thể cho thấy các nhóm tấn công tiền ảo đang cạnh tranh quyền kiểm soát tài nguyên bị nhiễm và cố gắng ngăn chặn các nhóm đối thủ tiếp tục khai thác hệ thống mà họ đã xâm nhập.

Trước mối đe dọa ngày càng gia tăng, nhóm nghiên cứu và tình báo bảo mật mạng Cisco Talos gần đây cũng công bố một chiến dịch khai thác lỗ hổng này nhằm vào các tổ chức tại Nhật Bản từ đầu năm nay. Để giảm thiểu rủi ro, các chuyên gia khuyến cáo người dùng và doanh nghiệp cần cập nhật ngay PHP lên phiên bản mới nhất. Đồng thời, việc hạn chế sử dụng các công cụ Living-off-the-Land (LOTL) như PowerShell đối với những tài khoản không có quyền quản trị cũng là một biện pháp quan trọng để giảm nguy cơ bị tấn công.

Trong bối cảnh các nhóm tin tặc liên tục khai thác lỗ hổng bảo mật để phát tán mã độc, việc chủ động bảo vệ hệ thống bằng cách cập nhật phần mềm và triển khai các chính sách an ninh chặt chẽ là điều cần thiết để tránh trở thành mục tiêu của các cuộc tấn công mạng.

Duy Trinh