Hvordan hackere bruger Msupedge Malware til at infiltrere Windows-netværk via PHP Exploit

I en nylig bølge af cybertrusler bliver en nyopdaget bagdør ved navn Msupedge aktivt implementeret af hackere for at kompromittere Windows-systemer. Denne sofistikerede malware blev først identificeret på et universitets netværk i Taiwan og menes at udnytte en kritisk PHP-sårbarhed, CVE-2024-4577, til at få uautoriseret adgang og eksekvere vilkårlig kode.

Sårbarheden i kernen

CVE-2024-4577 er en alvorlig fejl i PHP-CGI-tilstanden (Common Gateway Interface) på Windows-systemer, rettet i juni 2024. Denne sårbarhed giver angribere mulighed for at injicere argumenter og udføre vilkårlig kode eksternt. Fejlen er især bekymrende, da den påvirker PHP-installationer, der kører i CGI-tilstand, hvilket gør det til et højrisikoproblem for systemer, der endnu ikke har installeret patchen. Udnyttelse af denne sårbarhed kan føre til et komplet systemkompromis, hvilket gør det muligt for angribere at tage fuld kontrol over den målrettede maskine.

Msupedge: En ny race af malware

Msupedge-bagdøren er især bemærkelsesværdig for sin brug af DNS-trafik til at kommunikere med sin kommando-og-kontrol-server (C&C), en teknik, der, selvom den ikke er ny, sjældent ses i naturen. Denne metode, kendt som DNS-tunneling, udnytter dnscat2-værktøjet til at indkapsle data i DNS-forespørgsler og -svar, så malwaren kan modtage kommandoer fra angriberne i det skjulte.

Når først Msupedge er inde i systemet, kan Msupedge udføre en række kommandoer, udløst af specifikke IP-adresser, der er knyttet til dens C&C-server. Disse kommandoer omfatter oprettelse af processer, download af filer og styring af midlertidige filer, hvilket giver angriberne et alsidigt værktøj til at kontrollere og manipulere det kompromitterede system.

Angrebet i aktion

Ifølge Symantecs Threat Hunter Team, som undersøgte hændelsen, skete den første indtrængen i det taiwanske universitets netværk sandsynligvis gennem udnyttelsen af CVE-2024-4577-sårbarheden. Angriberne implementerede Msupedge-malwaren som to dynamiske linkbiblioteker (DLL'er), weblog.dll og wmiclnt.dll, hvor førstnævnte blev indlæst af Apache httpd.exe-processen.

Dette angreb minder om tidligere hændelser, hvor lignende PHP-sårbarheder blev udnyttet, såsom CVE-2012-1823-fejlen, som blev brugt år efter sin patch til at sprede RubyMiner-malwaren. Vedvaren af sådanne sårbarheder understreger vigtigheden af rettidig patchning og de løbende risici forbundet med ældre systemer og upatchet software.

Det bredere trusselslandskab

Opdagelsen af Msupedge kommer midt i en bredere tendens til, at trusselsaktører i stigende grad målretter mod nyopdagede sårbarheder med bemærkelsesværdig hastighed. Blot en dag efter at PHP-vedligeholderne frigav patchen til CVE-2024-4577, observerede sikkerhedsforskere udbredte udnyttelsesforsøg, herunder af den berygtede TellYouThePass-ransomware-bande.

Disse hurtige udnyttelsesbestræbelser understreger vigtigheden af, at organisationer anvender sikkerhedsrettelser, så snart de bliver tilgængelige. Forsinkelser i patching kan åbne døren for angreb som dem, der involverer Msupedge, hvilket kan have ødelæggende konsekvenser for kompromitterede systemer.

Fremkomsten af Msupedge tjener som en skarp påmindelse om den udviklende taktik, der bruges af cyberkriminelle til at infiltrere systemer og unddrage sig opdagelse. Ved at udnytte DNS-tunneling og udnytte kritiske sårbarheder fortsætter angriberne med at forfine deres metoder, hvilket gør det stadig sværere for forsvarere at beskytte deres netværk. Organisationer skal forblive på vagt, anvende patches med det samme og anvende avancerede trusselsdetektionsteknikker for at være på forkant med disse nye trusler.