Threat Actors Exploit PHP-CGI RCE Vulnerability to Attack Windows Machines
Threat Actors Exploit PHP-CGI RCE Vulnerability to Attack Windows Machines
A recent cybersecurity threat has emerged where unknown attackers are exploiting a critical remote code execution (RCE) vulnerability.
gbhackers.com
PHP-CGI RCE Flaw Exploited in Attacks on Japan's Tech, Telecom, and E-Commerce Sectors
- 취약점 개요 및 공격 흐름
- CVE-2024-4577은 PHP의 CGI 모드에서 발생하는 원격 코드 실행(RCE) 취약점으로, Windows 환경의 Apache 서버에서 악용 가능
- 공격자는 공개된 Python 익스플로잇 스크립트를 이용해 취약점을 스캔하고 초기 접근을 확보
- 이후 PHP 내 PowerShell 명령어를 실행해 C2 서버에서 인젝터 스크립트를 다운로드하고 Cobalt Strike 역방향 HTTP 쉘코드를 삽입
- 주요 공격 대상 및 활동 영역
- 일본 내 기술, 통신, 엔터테인먼트, 교육, 전자상거래 등 다양한 산업군을 타깃으로 삼음
- 초기 침투 후 Cobalt Strike(TaoWu 플러그인 포함)를 활용해 탐지 회피 및 지속적 제어권 확보
- 침투 후 활동 및 공격 도구
- 권한 상승 도구로 JuicyPotato, RottenPotato, SweetPotato 사용
- 네트워크 정찰을 위해 fscan.exe, Seatbelt.exe 활용
- Group Policy Object(GPO)를 통해 악성 스크립트를 조직 내 확산 시도
- Mimikatz로 메모리 내 비밀번호 및 NTLM 해시 추출
- wevtutil.exe를 활용해 Windows 이벤트 로그를 삭제해 포렌식 회피
- 악용된 프레임워크 및 툴
- Alibaba 클라우드 컨테이너 레지스트리에 호스팅된 도구들을 이용해 공격 자동화
- 활용된 도구에는 BeEF(XSS 기반 브라우저 공격), Viper C2(리버스 쉘 생성 및 원격 명령 실행), Blue-Lotus(JavaScript 웹셸 기반 CMS 공격), ARL, Starkiller 등 포함
- 이러한 도구들은 원래 침투 테스트용이나 공격에 재사용됨
- 결론
- 공개 취약점을 기반으로 한 조직화된 공격 시나리오로, 초기 침투부터 권한 상승, 지속성 확보, 정찰, 자격 증명 탈취까지 전 단계 자동화
- 합법적인 도구를 악용한 점에서 탐지 회피가 용이하고, 공격자의 인프라 노출이 확인된 만큼 유사한 공격이 재현될 가능성 있음
- 공격자는 단순 자격증명 탈취를 넘어 장기적인 내부 침투 및 시스템 제어를 목적으로 한 정황이 확인됨
- 조직은 PHP-CGI 환경 점검 및 패치 적용, 외부 노출 시스템 로그 모니터링, Cobalt Strike 계열 행위 탐지 정책 강화가 필요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Jenkins 다중 취약점으로 인한 비밀 정보 노출 위협 (0) | 2025.04.12 |
|---|---|
| Mirai 기반 봇넷, Edimax IP 카메라 제로데이 취약점(CVE-2025-1316) 악용 분석 (0) | 2025.04.12 |
| LibreOffice 매크로 URL 취약점(CVE-2025-1080) 악용 가능성 분석 (0) | 2025.04.12 |
| ZITADEL IDOR 취약점으로 주요 설정 변경 가능, 계정 탈취 및 보안 우회 위험 (0) | 2025.03.31 |
| Kibana 원격 코드 실행 취약점(CVE-2025-25015) 긴급 보안 패치 발표 (0) | 2025.03.31 |