Hackers Exploit Severe PHP Flaw to Deploy Quasar RAT and XMRig Miners
- 주요 공격 개요
- 취약점 CVE-2024-4577은 Windows 기반 CGI 모드 PHP 환경에서 발생하는 인자 주입(Argument Injection) 취약점으로 원격 코드 실행 가능
- 공격자는 이를 통해 암호화폐 채굴기(XMRig, Nicehash Miner) 및 원격 접근 도구(Quasar RAT)를 배포
- Bitdefender에 따르면 2024년 말부터 공격 시도 급증
- 지역별 공격 분포
- 대만 54.65%
- 홍콩 27.06%
- 브라질 16.39%
- 일본 1.57%
- 인도 0.33%
- 공격 방식 세부 분석
- 15%는 기본 취약점 존재 확인용 명령어(whoami, echo 등) 사용
- 또 다른 15%는 시스템 정찰 목적의 명령어 사용(프로세스 열거, 네트워크 탐지 등)
- 최소 5%의 공격에서 XMRig 암호화폐 채굴기 설치
- JavaWindows.exe 등 정상 프로세스로 위장해 탐지 회피
- 일부 공격은 Quasar RAT을 활용한 원격 제어 도구 배포
- 원격 서버에서 MSI 파일을 cmd.exe를 통해 실행
- 방화벽 설정 조작 사례
- Bitdefender는 일부 공격자가 방화벽 규칙을 변경해 경쟁 공격자의 악성 IP 차단 시도 확인
- 이는 암호화폐 채굴 공격자 간 자원 선점 경쟁을 반영한 행위로 해석됨
- 관련 공격 캠페인
- Cisco Talos는 해당 취약점이 일본 기관 대상 공격에 사용되고 있다고 보고
- Lateral Movement 전개 없이도 초기 침투 후 신속히 악성 페이로드 실행
- 보안 권고
- PHP 최신 버전으로 업데이트 필수
- PowerShell 등 Living-off-the-Land(LOTL) 도구는 관리자 등 특권 사용자에게만 허용할 것
- CGI 기반 PHP 환경은 반드시 접근 제한 및 외부 노출 여부 점검 필요
- 결론
- 오래된 PHP 환경과 CGI 모드는 사이버 공격에 매우 취약
- 공개 RAT, 암호화폐 채굴기, LOTL 도구를 복합적으로 사용하는 트렌드는 지속될 가능성 높음
- 다중 방어 계층과 위협 탐지 시스템의 연계가 필수적
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 유명 증권사 사칭 악성 앱 유포 사례 및 보안 분석 (0) | 2025.05.03 |
|---|---|
| 제주자치도 정보공개포털 통한 개인정보 노출 사건 정리 (0) | 2025.05.03 |
| RMM 툴 악용한 지속적 침투 및 탐지 회피 공격 분석 (0) | 2025.05.02 |
| Black Basta 내부 채팅 유출, 러시아 당국 개입 및 BRUTED 기반 대규모 공격 정황 (0) | 2025.05.02 |
| 레거시 드라이버를 활용한 TLS 인증서 유효성 검사 우회 (0) | 2025.05.02 |