摘要：自 2025 年 1 月以来，来源不明的威胁组织针对日本目标。思科 Talos 研究员 Chetan Raghuprasad在周四发布的技术报告中表示： “攻击者利用了漏洞CVE-2024-4577，这是 Windows 上 PHP 的 PHP-CGI 实现中

自 2025 年 1 月以来，来源不明的威胁组织针对日本目标。思科 Talos 研究员 Chetan Raghuprasad在周四发布的技术报告中表示： “攻击者利用了漏洞CVE-2024-4577，这是 Windows 上 PHP 的 PHP-CGI 实现中的一个远程代码执行 (RCE) 缺陷，以获取受害机器的初始访问权限。”

“攻击者利用公开的Cobalt Strike 套件‘TaoWu’的插件进行后期开发活动。”恶意活动的目标涵盖日本的科技、电信、娱乐、教育和电子商务领域的公司。

攻击者利用 CVE-2024-4577 漏洞获取初始访问权限并运行 PowerShell 脚本来执行 Cobalt Strike 反向 HTTP shellcode 负载，以授予自己对受感染端点的持久远程访问权限。

下一步需要使用 JuicyPotato、RottenPotato、SweetPotato、Fscan 和 Seatbelt 等工具进行侦察、权限提升和横向移动。通过使用名为 TaoWu 的 Cobalt Strike 套件插件，通过 Windows 注册表修改、计划任务和定制服务来建立额外的持久性。

“为了保持隐秘，他们使用 wevtutil 命令擦除事件日志，从 Windows 安全、系统和应用程序日志中删除其操作的痕迹。”Raghuprasad 指出。“最终，他们执行 Mimikatz 命令，从受害者机器的内存中转储和窃取密码和 NTLM 哈希值。”

攻击的最终结果是黑客团队从受感染的主机窃取密码和 NTLM 哈希。对与 Cobalt Strike 工具相关的命令和控制 (C2) 服务器的进一步分析表明，攻击者将目录列表留在互联网上可访问，从而暴露了托管在阿里云服务器上的全套对抗工具和框架。

以下列出了值得注意的工具：

浏览器利用框架 (BeEF)，一种公开可用的渗透测试软件，用于在浏览器上下文中执行命令；

Viper C2 是一个模块化 C2 框架，可帮助执行远程命令并生成 Meterpreter 反向 shell 负载；

Blue-Lotus 是一个 JavaScript webshell 跨站点脚本 (XSS) 攻击框架，可以创建 JavaScript webshell 负载来发起 XSS 攻击、捕获屏幕截图、获取反向 shell、窃取浏览器 cookie 以及在内容管理系统 (CMS) 中创建新帐户。

Raghuprasad 表示：“根据我们对其他后利用活动的观察，我们有信心认为攻击者的动机不仅限于获取凭证，例如建立持久性、提升到系统级权限以及可能访问对抗框架，这表明未来发生攻击的可能性。”

技术报告：

来源：会杀毒的单反狗