据网络安全公司Akamai 透露,自2023年10月17日开始黑客利用 ThinkPHP 应用程序中存在多年的安全漏洞(例如CVE-2018-20062和CVE-2019-9082)来投放名为 Dama 的 Web shell。
Akamai 研究人员 Ron Mankivsky 和 Maxim Zavodchik表示: “该漏洞试图从另一台受感染的 ThinkPHP 服务器中检索更多混淆代码,以获得初步立足点。成功利用该系统后,攻击者将安装一个名为 Dama 的中文 Web shell,以保持对服务器的持续访问。”
Web shell 配备了多种高级功能,可以收集系统数据、上传文件、扫描网络端口、提升权限以及浏览文件系统,后者使威胁行为者能够执行文件编辑、删除和时间戳修改等操作以达到混淆目的。