یک کمپین مخرب با عوامل تهدید ناشناخته از ژانویه 2025 عمدتاً سازمانهای سراسر بخشهای فناوری، مخابرات، سرگرمی، آموزش و تجارت الکترونیک در ژاپن را هدف قرار میدهد.
محقق Cisco Talos، در گزارشی فنی گفت: نفوذگر از آسیبپذیری حیاتی اجرای کد از راه دور (RCE) با شناسه CVE-2024-4577 (امتیاز 9.8) در پیادهسازی PHP-CGI PHP ویندوز، برای دسترسی اولیه به دستگاههای قربانی سوء استفاده کرده است. همچنین از پلاگینهای Cobalt Strike kit به نام «TaoWu» در دسترس عموم برای فعالیتهای پس از اکسپلویت بهرهبرداری میکند. حملات اکسپلویت از آسیبپذیری مذکور به منظور اخذ دسترسی اولیه و اجرای اسکریپتهای پاورشل برای اجرای پیلود شلکد HTTP معکوس Cobalt Strike جهت اعطای دسترسی دائمی از راه دور به نقطه پایانی در معرض خطر شروع میشود. مرحله بعدی مستلزم انجام شناسایی، ارتقا دسترسی و حرکت جانبی با استفاده از ابزارهایی مانند JuicyPotato، RottenPotato، SweetPotato، Fscan و Seatbelt است. تداوم بیشتر از طریق تغییرات رجیستری ویندوز، وظایف برنامهریزی شده و سرویسهای سفارشی با استفاده از پلاگینهای TaoWu ایجاد میشود.
https://thehackernews.com/2025/03/php-cgi-rce-flaw-exploited-in-attacks.html
