Специалисты Akamai предупредили, что множество злоумышленников используют обнаруженную недавно уязвимость в PHP для распространения троянов удаленного доступа, криптовалютных майнеров и организации DDoS-атак.
Напомним, что RCE-уязвимость CVE-2024-4577 (9,8 балла по шкале CVSS) была раскрыта в начале июня 2024 года. Она позволяет злоумышленнику удаленно выполнять вредоносные команды в Windows-системах. Проблема усугубляется при использовании некоторых локализаций, которые более восприимчивы к этому багу, включая традиционный китайский, упрощенный китайский и японский.
«CVE-2024-4577 позволяет злоумышленнику осуществить побег из командной строки и передать аргументы для интерпретации непосредственно PHP, — пишут исследователи Akamai. — Сама уязвимость связана с тем, как символы Юникод преобразуются в ASCII».
Специалисты говорят, что зафиксировали первые попытки эксплуатации свежего бага на своих honeypot-серверах в течение 24 часов после того, как о проблеме стало известно широкой общественности.
В частности, были замечены эксплоиты, предназначенные для распространения трояна удаленного доступа Gh0st RAT, криптовалютных майнеров RedTail и XMRig, а также DDoS-ботнета Muhstik.
«Атакующие отправляли запрос, похожий на те, что встречались в предыдущих операциях RedTail, чтобы выполнить запрос wget для шелл-скрипта, — пишут исследователи. — Этот скрипт делает дополнительный сетевой запрос на тот же IP-адрес, расположенный в России, чтобы получить x86-версию вредоносной программы для майнинга криптовалют RedTail».
Отметим, что ранее специалисты компании Imperva так же предупреждали о начале эксплуатации CVE-2024-4577. По их данным, баг начали применять участники вымогательской группировки TellYouThePass для распространения .NET-варианта своего шифровальщика.
