MD5-хэш как маркер взлома: тактика атак на PHP-CGI

Специалисты GreyNoise предупредили о расширении масштабов эксплуатации критической уязвимости в PHP-CGI, которая первоначально затрагивала в основном японские организации. Атаки теперь охватывают множество регионов, требуя срочных мер по защите от угрозы.

Недавно Cisco Talos сообщила о выявлении вредоносной кампании, направленной против организаций в Японии. В ходе атак эксплуатировалась критическая RCE- уязвимость в PHP-CGI CVE-2024-4577 (оценка CVSS: 9.8).

Злоумышленники использовали уязвимые установки PHP-CGI на Windows-системах для развертывания Cobalt Strike и проведения последующих атак с помощью инструментария TaoWu. Основные характеристики атак включают использование HTTP POST-запросов с хэшем MD5 в качестве индикатора успешного внедрения, загрузку вредоносных PowerShell-скриптов и хостинг C2-инфраструктуры на Alibaba Cloud.

По данным GreyNoise, масштабы атак значительно шире, чем первоначально предполагалось. В январе 2025 года зафиксировано более 1089 уникальных IP-адресов, пытающихся использовать эксплойт. Всего известно 79 способов эксплуатации уязвимости, позволяющих удалённо выполнять код на уязвимых системах.

GreyNoise подтвердила, что атаки охватывают множество регионов, включая США, Сингапур, Великобританию, Испанию и Индию, с заметным увеличением активности в конце января. Более 43% вредоносного трафика зафиксировано из Германии и Китая. В феврале наблюдались новые всплески попыток эксплуатации, что указывает на автоматизированное сканирование сети в поисках уязвимых целей.

CVE-2024-4577 была обнаружена и получила исправление ещё летом 2024 года, однако атаки продолжились. Основная цель злоумышленников заключалась в похищении учётных данных и возможном закреплении в системе для последующих атак. В августе была зафиксирована атака на университет на Тайване. То есть проблема начала распространяться за пределы Японии задолго до сообщения GreyNoise.

Специалисты настоятельно рекомендуют организациям, использующим Windows-серверы с открытым доступом к PHP-CGI, следовать рекомендациям , проводить ретроспективный анализ сетевой активности и оперативно блокировать вредоносные IP-адреса, а также установить последние обновления безопасности.