【资安日报】3月10日，日本科技公司、电信业者、娱乐产业遭到攻击，起因是PHP已知CGI漏洞尚未修补酿祸

台湾资安业者戴夫寇尔去年揭露的PHP程式语言重大层级漏洞CVE-2024-4577，公布不久就传出思科威胁情报团队Talos揭露发生在今年1月的攻击行动，这波专门针对日本的企业组织与研究机构而来，其中又以科技公司与电信业者为主要目标。

去年6月台湾资安业者戴夫寇尔揭露PHP程式语言重大层级漏洞CVE-2024-4577，此漏洞存在于CGI参数而有机会被用于注入攻击，使得攻击者能借此用于远端执行任意程式码（RCE），如今传出有人将此漏洞用于攻击日本。

思科旗下的威胁情报团队Talos在今年1月发现新一波漏洞攻击行动，此波威胁主要针对日本的科技、电信业者、娱乐、教育及研究机构而来，但也有电子商城网站受害的情形。这些攻击行动里，骇客运用CVE-2024-4577取得初始入侵管道，然后利用能公开取得得Cobalt Strike外挂程式「梼杌（TaoWu）」来进行后续活动，目的是搜刮受害主机的帐密资料。

为了不让攻击行动东窗事发，骇客滥用命令列工具wevtutil执行寄生攻击（LOLBin），删除作业系统及应用程式的事件记录。

微软威胁情报团队侦测到一起影响全球近百万台装置的大型恶意广告（Malvertising）攻击事件。此次攻击活动主要透过非法的影片串流网站散播，用户点击网站上的影片后，会经过多次重新导向，最终被引导至包含GitHub在内的网路储存平台下载恶意程式。微软指出，GitHub是本次攻击行动中恶意软体的主要托管平台之一，目前相关恶意储存库已遭GitHub安全团队下架处理。

◆

◆