2024年6月6日，奇安信CERT监测到官方修复PHP CGI Windows平台特定语系(简体中文936/繁体中文950/日文932)远程代码执行漏洞(CVE-2024-4577)，未经身份认证的远程攻击者可以通过特定的字符序列绕过此前CVE-2012-1823的防护，通过参数注入在配置了cgi选项的远程PHP服务器上执行任意代码，从而导致远程代码执行、敏感信息泄露或造成服务器崩溃。需要注意的是cgi选项默认在xmapp中开启。

该漏洞在网上公开披露后，奇安信威胁情报红雨滴团队第一时间进行了跟进，发现自6月7号该漏洞细节披露后，从8号开始出现了多起以该漏洞为攻击向量的攻击事件。

事件一

最早的攻击活动时间为2024-06-08 13:20:29，未知攻击者利用CVE-2024-4577漏洞向服装行业发起攻击。攻击者在xampp\\htdocs\\目录下上传名为updateout.php的webshell小马

然后上传另一个名为xxl.php的webshell

Webshell连接成功后从远程服务器下载payload （http://110.41.189.19:8000/ttt.exe）

下发免杀的插件api.exe用于添加用户，方便后续RDP登录，添加的用户信息如下：

guest zxc123…

事件二

2024-06-08 19:40:31，勒索软件分发商利用CVE-2024-4577漏洞向金融、商务服务业发起攻击，启动mshta.exe执行远程hta文件，但是被天擎拦截，经过分析后续payload为TellYouThePass勒索软件。

• http://88.218.76.13/dd3.hta

• http://88.218.76.13/d3.hta

事件三

2024-06-08 20:45:06，Lucifer DDoS团伙利用CVE-2024-4577漏洞向医疗行业发起攻击，执行恶意的powershell脚本

执行的bat内容如下：

下载挖矿组件，矿池地址如下：

auto.c3pool.org:443

整个漏洞的相关时间线如下所示:

• 2024-06-06：Devco blog对该漏洞进行了披露，

• 2024-06-07：奇安信cert完成复现并对外推送安全公告

  twitter上开始出现exp利用

• 2024-06-08：针对xampp默认配置的exp公开

• 2024-06-08：下午13:20:29，奇安信威胁情报红雨滴团队捕获发现第一个在野攻击

IOC

未知攻击C2：

http://110.41.189.19:8000/ttt.exe

TellYouThePass勒索C2：

http://88.218.76.13/dd3.hta

http://88.218.76.13/d3.hta

Lucifer DDoS挖矿组件C2：

http://img6.tuwan.com/0a977469-c1ac-4e94-beca-1b89d18ab3bf.txt/test.bat

http://img6.tuwan.com/9e9cdf6b-8471-4d2c-b422-8de1221d37f6.txt/test.bat

http://img6.tuwan.com/0a977469-c1ac-4e94-beca-1b89d18ab3bf.txt/xmrig.exe

http://img6.tuwan.com/0a977469-c1ac-4e94-beca-1b89d18ab3bf.txt/configjashgddfh.json

http://img6.tuwan.com/0a977469-c1ac-4e94-beca-1b89d18ab3bf.txt/Wi.png

auto.c3pool.org:443

声明：本文来自奇安信威胁情报中心，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。