TOKIO / MÜNCHEN (IT BOLTWISE) – Eine kürzlich entdeckte Sicherheitslücke in der PHP-CGI-Implementierung auf Windows-Systemen hat zu einer Reihe von Angriffen auf Unternehmen in Japan geführt. Diese Angriffe, die seit Januar 2025 beobachtet werden, zielen auf verschiedene Sektoren ab, darunter Technologie, Telekommunikation und E-Commerce.
Die Bedrohungsakteure, deren Herkunft bisher unbekannt ist, nutzen die Schwachstelle CVE-2024-4577 aus, um sich Zugang zu den Systemen ihrer Opfer zu verschaffen. Diese Sicherheitslücke ermöglicht es Angreifern, Remote-Code-Ausführung durchzuführen und so die Kontrolle über die betroffenen Systeme zu erlangen. Einmal eingedrungen, verwenden die Angreifer PowerShell-Skripte, um den Cobalt Strike Reverse HTTP Shellcode auszuführen, der ihnen dauerhaften Zugriff auf die kompromittierten Endpunkte gewährt.
Nach der ersten Kompromittierung führen die Angreifer eine Reihe von Aktivitäten durch, um ihre Präsenz im Netzwerk zu festigen. Dazu gehören Aufklärungsmaßnahmen, Privilegienerweiterung und laterale Bewegungen innerhalb des Netzwerks. Zu den eingesetzten Werkzeugen gehören JuicyPotato, RottenPotato, SweetPotato, Fscan und Seatbelt. Um ihre Spuren zu verwischen, löschen sie Ereignisprotokolle mit Hilfe von wevtutil-Befehlen und entfernen so Hinweise auf ihre Aktivitäten aus den Sicherheits-, System- und Anwendungsprotokollen von Windows.
Ein weiterer Schritt in der Angriffskette ist das Ausführen von Mimikatz-Befehlen, um Passwörter und NTLM-Hashes aus dem Speicher der Opfermaschinen zu extrahieren und zu exfiltrieren. Die Analyse der Command-and-Control-Server, die mit dem Cobalt Strike-Tool in Verbindung stehen, hat ergeben, dass die Angreifer die Verzeichnislisten im Internet zugänglich gelassen haben, wodurch das gesamte Arsenal an Angriffswerkzeugen und -frameworks offengelegt wurde.
Besonders bemerkenswert ist die Verwendung des Browser Exploitation Framework (BeEF), einer öffentlich zugänglichen Pentesting-Software, die es ermöglicht, Befehle im Kontext des Browsers auszuführen. Darüber hinaus nutzen die Angreifer das modulare C2-Framework Viper, das die Ausführung von Remote-Befehlen und die Generierung von Meterpreter-Reverse-Shell-Payloads erleichtert. Ein weiteres eingesetztes Werkzeug ist Blue-Lotus, ein JavaScript-Webshell-XSS-Angriff-Framework, das die Erstellung von JavaScript-Webshell-Payloads zur Durchführung von XSS-Angriffen ermöglicht.
Experten gehen mit moderater Sicherheit davon aus, dass das Motiv der Angreifer über das bloße Sammeln von Anmeldedaten hinausgeht. Die Beobachtung anderer Post-Exploitation-Aktivitäten, wie das Etablieren von Persistenz und das Erlangen von SYSTEM-Privilegien, deutet auf die Möglichkeit zukünftiger Angriffe hin. Diese Aktivitäten könnten darauf abzielen, Zugang zu weiteren Angriffswerkzeugen zu erlangen und die betroffenen Systeme langfristig zu kompromittieren.
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Intern AI Innovation for Medical Devices (f/m/x)
Duales Studium BWL-Artificial Intelligence (B.A.) am Campus oder virtuell
Working Student AI-powered Process Optimization in Product Management (m/f/d)
Werkstudent (m/w/d) für KI / Chatbot-Entwicklung
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "PHP-CGI-Sicherheitslücke: Angriffe auf Japans Technologie- und Telekommunikationssektor" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "PHP-CGI-Sicherheitslücke: Angriffe auf Japans Technologie- und Telekommunikationssektor" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die deutsche Google-Suchmaschine für eine weitere Themenrecherche: »PHP-CGI-Sicherheitslücke: Angriffe auf Japans Technologie- und Telekommunikationssektor« bei Google Deutschland suchen und bei Google News recherchieren!