GreyNoise, perusahaan threat intelligence, memberikan peringatan terkait eksploitasi massal terhadap kerentanan kritikal remote code execution (RCE) pada PHP di Windows yang berjalan dalam CGI mode (CVE-2024-4577). Januari 2025, jaringan honeypot di seluruh dunia yang dikenal dengan Global Obeservation Grid (GOG) menemukan 1.089 IP address yang mencoba mengeksploitasi kerentanan tersebut. Cisco Talos juga melaporkan bahwa pelaku ancaman menggunakan Cobalt Strike beacon dan TaoWu toolkit untuk kegiatan post exploitation.

1. Attacker memanfaatkan public exploit berupa kode python untuk memeriksa bila suatu URL rentan terhadap CVE-2024-4577.
   
   

2. Bila target terdeteksi rentan, attacker akan mencoba menginjeksikan powershell script menggunakan kode PHP yang menyebabkan korban akan mengeksekusi powershell script dari C2 server. 

1. Initial Access: Eksploitasi via kerentanan PHP-CGI menggunakan HTTP POST requests dengan MD5 hash e10adc3949ba59abbe56e057f20f883e.
   
   

2. Payloads: PowerShell script memanggil reverse HTTP shellcode Cobalt Strike (sample -> http://38[.]14[.]255[.]23:8000/payload.ps1).

3. C2 Infrastructure: Server 38[.]14[.]255[.]23 dan 118[.]31[.]18[.]77 di-hosting pada Alibaba Cloud, dengan string HTTP User-Agent meniru Internet Explorer versi lama.
   
   
4. Malicious IP: Daftar lengkap malicious IP yang mencoba melakukan eksploitasi terlampir pada referensi nomor 5.

1. Segera lakukan update patch versi latest stable sesuai petunjuk pada referensi nomor 1.
   
   

2. Identifikasi dan blokir IP address berbahaya yang secara aktif menargetkan kerentanan CVE-2024-4577.

3. Bagi pengelola perimeter security dapat menambahkan IoC terkait pada mekanisme deteksi dan proteksi yang dimiliki Perusahaan.