2025 оны 1-р сараас хойш Япон дахь байгууллагуудыг голчлон чиглүүлсэн хорлонтой кампанит ажил нь тодорхойгүй гарал үүсэлтэй заналхийлэгчидтэй холбоотой юм.
Cisco Talos-ын судлаач Четан Рагхупрасад пүрэв гаригт хэвлэгдсэн техникийн тайландаа "Халдлага үйлдэгч нь хохирогч машинуудад анхан шатны хандалт авахын тулд Windows дээрх PHP-ийн PHP-CGI хэрэгжилтийн зайнаас код ажиллуулах (RCE) CVE-2024-4577 эмзэг сул байдлыг ашигласан" гэж мэдэгджээ.
"Халдлага үйлдэгч нь дараах үйл ажиллагаанд олон нийтэд нээлттэй Cobalt Strike иж бүрдэл "TaoWu"-ийн залгаасуудыг ашигладаг."
Хортой үйл ажиллагааны зорилтууд нь Япон дахь технологи, харилцаа холбоо, зугаа цэнгэл, боловсрол, цахим худалдааны салбарын компаниудыг хамардаг байна.
Энэ бүх аюул заналхийлэгчид CVE-2024-4577-ийн эмзэг байдлыг ашиглаж, анхдагч хандалт олж авах, Cobalt Strike урвуу HTTP бүрхүүлийн кодын ачааллыг гүйцэтгэхийн тулд PowerShell скриптүүдийг ажиллуулж, өөрсдөдөө эвдэрсэн эцсгийн цэг рүү алсын зайнаас нэвтрэх эрхийг олж авахаас эхэлдэг.
Дараагийн алхам нь JuicyPotato, RottenPotato, SweetPotato, Fscan, Seatbelt гэх мэт хэрэгслүүдийг ашиглан хайгуул хийх, давуу эрх нэмэгдүүлэх, хажуугийн хөдөлгөөн хийх явдал юм. ТаоВу нэртэй Cobalt Strike иж бүрдэлийн залгаасуудыг ашиглан Windows Бүртгэлийн өөрчлөлт, хуваарьт даалгавар, захиалгат үйлчилгээнүүдээр нэмэлт тогтвортой байдлыг бий болгодог.
"Өөрсдийн нууцлалыг хадгалахын тулд тэд wevtutil тушаалуудыг ашиглан үйл явдлын бүртгэлийг устгаж, Windows-ийн аюулгүй байдал, систем, програмын бүртгэлээс үйлдлийн ул мөрийг арилгадаг" гэж Рагупрасад тэмдэглэв. "Эцэст нь тэд хохирогчийн машин дээрх санах ойноос нууц үг болон NTLM хэшийг устгаж, гадагшлуулах Mimikatz тушаалуудыг гүйцэтгэдэг."
Халдлагууд нь халдлагад өртсөн хостуудын нууц үг болон NTLM хэшийг хулгайлснаар өндөрлөж байна. Cobalt Strike хэрэгсэлтэй холбоотой команд-хяналтын (C2) серверүүдийн цаашдын дүн шинжилгээ нь аюул заналхийлэгч нь лавлах жагсаалтыг интернетээр ашиглах боломжтой орхиж, улмаар Алибаба үүл сервер дээр байрлуулсан сөрөг хэрэгсэл, хүрээг бүрэн хэмжээгээр илчилсэн болохыг харуулж байна.
Багаж хэрэгслүүдийн дундаас дор дурьдсан:
- Browser Exploitation Framework (BeEF) нь вэб хөтчийн контекст дотор тушаалуудыг гүйцэтгэхэд зориулагдсан, нийтэд нээлттэй пентест програм хангамж юм.
- Viper C2 нь алсын зайнаас тушаал гүйцэтгэх болон Meterpreter-ийн урвуу бүрхүүлийн ачааллыг бий болгоход тусалдаг модульчлагдсан C2 хүрээ юм.
- Blue-Lotus, JavaScript вэб бүрхүүлийн сайт хоорондын скрипт (XSS) халдлагын хүрээ нь XSS халдлага хийх, дэлгэцийн агшин авах, урвуу бүрхүүл авах, хөтчийн күүки хулгайлах, Агуулгын удирдлагын системд (CMS) шинэ бүртгэл үүсгэх боломжийг олгодог JavaScript вэб бүрхүүлийн ачааллыг үүсгэх боломжийг олгодог.
"Бид мөлжлөгийн дараах бусад үйл ажиллагаанууд, тухайлбал тууштай байдал тогтоох, СИСТЕМ-ийн түвшний давуу эрх болон сөрөг хүчний тогтолцоонд нэвтрэх боломжуудыг олж харсны үндсэн дээр халдагчийн сэдэл нь зөвхөн итгэмжлэл хураахаас илүү гэдгийг бид дунд зэргийн итгэлтэйгээр үнэлж байна" гэж Рагху хэлсэн байна.
