Hrozby neznámého původu byly připsány kampani, která od ledna 2025 převážně cílí na organizace v Japonsku.

„Útočník zneužil zranitelnost CVE-2024-4577, chybu vzdáleného spuštění kódu (RCE) v implementaci PHP-CGI na Windows, aby získal počáteční přístup k napadeným zařízením,“ uvedl výzkumník Cisco Talos Chetan Raghuprasad v technické zprávě. „Útočník využívá pluginy z veřejně dostupné sady Cobalt Strike s názvem ‚TaoWu‘ pro aktivity po zneužití.“

Cíle této aktivity zahrnují společnosti z technologického, telekomunikačního, zábavního, vzdělávacího a e-commerce sektoru v Japonsku.

Vše začíná tím, že útočníci zneužijí zranitelnost CVE-2024-4577 k získání počátečního přístupu a spuštění PowerShell skriptů, které vykonávají reverzní HTTP shellcode payload Cobalt Strike, čímž si zajistí trvalý vzdálený přístup k napadenému zařízení.

Další krok zahrnuje provádění průzkumu, eskalaci oprávnění a laterální pohyb pomocí nástrojů jako JuicyPotato, RottenPotato, SweetPotato, Fscan a Seatbelt. Další trvalost je zajištěna prostřednictvím úprav registru Windows, plánovaných úloh a vlastních služeb pomocí pluginů sady Cobalt Strike s názvem TaoWu.

„Aby si udrželi utajení, mažou protokoly událostí pomocí příkazů wevtutil, čímž odstraňují stopy svých akcí z bezpečnostních, systémových a aplikačních protokolů Windows,“ poznamenal Raghuprasad. „Nakonec spouštějí příkazy Mimikatz k získání a exfiltraci hesel a NTLM hashů z paměti na napadeném zařízení.“

Útoky vrcholí tím, že hackeři kradou hesla a NTLM hashe z infikovaných zařízení. Další analýza serverů pro velení a řízení (C2) spojených s nástrojem Cobalt Strike odhalila, že útočník nechal adresáře přístupné přes internet, čímž odhalil kompletní sadu nástrojů a frameworků hostovaných na serverech Alibaba Cloud.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS