Wie Hacker die Msupedge-Malware nutzen, um über einen PHP-Exploit in Windows-Netzwerke einzudringen

Im Zuge einer jüngsten Welle von Cyberbedrohungen wird eine neu entdeckte Hintertür namens Msupedge aktiv von Hackern eingesetzt, um Windows-Systeme zu kompromittieren. Diese hochentwickelte Malware wurde erstmals im Netzwerk einer Universität in Taiwan entdeckt und nutzt vermutlich eine kritische PHP-Sicherheitslücke (CVE-2024-4577) aus, um unbefugten Zugriff zu erlangen und beliebigen Code auszuführen.

Die Verletzlichkeit im Kern

CVE-2024-4577 ist ein schwerwiegender Fehler im PHP-CGI-Modus (Common Gateway Interface) auf Windows-Systemen, der im Juni 2024 gepatcht wurde. Diese Schwachstelle ermöglicht es Angreifern, Argumente einzuschleusen und beliebigen Code aus der Ferne auszuführen. Der Fehler ist besonders besorgniserregend, da er PHP-Installationen betrifft, die im CGI-Modus ausgeführt werden, was ihn zu einem Hochrisikoproblem für Systeme macht, auf denen der Patch noch nicht angewendet wurde. Das Ausnutzen dieser Schwachstelle kann zu einer vollständigen Systemkompromittierung führen und Angreifern ermöglichen, die vollständige Kontrolle über die Zielmaschine zu übernehmen.

Msupedge: Eine neue Art von Malware

Die Msupedge-Hintertür ist besonders bemerkenswert, weil sie DNS-Verkehr zur Kommunikation mit ihrem Command-and-Control-Server (C&C) nutzt. Diese Technik ist zwar nicht neu, wird aber in freier Wildbahn nur selten eingesetzt. Diese Methode, bekannt als DNS-Tunneling, nutzt das Tool dnscat2, um Daten in DNS-Anfragen und -Antworten einzukapseln, sodass die Malware verdeckt Befehle von den Angreifern empfangen kann.

Sobald Msupedge im System ist, kann es eine Reihe von Befehlen ausführen, die von bestimmten IP-Adressen ausgelöst werden, die mit seinem C&C-Server verknüpft sind. Zu diesen Befehlen gehören das Erstellen von Prozessen, das Herunterladen von Dateien und das Verwalten temporärer Dateien. Damit erhalten die Angreifer ein vielseitiges Werkzeug, um das kompromittierte System zu steuern und zu manipulieren.

Der Angriff in Aktion

Laut dem Threat Hunter Team von Symantec, das den Vorfall untersuchte, erfolgte der erste Einbruch in das Netzwerk der taiwanesischen Universität wahrscheinlich durch Ausnutzung der Sicherheitslücke CVE-2024-4577. Die Angreifer setzten die Msupedge-Malware in Form von zwei Dynamic Link Libraries (DLLs) ein, weblog.dll und wmiclnt.dll, wobei erstere vom Apache-Prozess httpd.exe geladen wurde.

Dieser Angriff erinnert an frühere Vorfälle, bei denen ähnliche PHP-Schwachstellen ausgenutzt wurden, wie etwa die Schwachstelle CVE-2012-1823, die Jahre nach ihrem Patch noch zur Verbreitung der RubyMiner-Malware genutzt wurde. Dass solche Schwachstellen weiterhin bestehen, unterstreicht die Bedeutung zeitnaher Patches und die anhaltenden Risiken, die mit Altsystemen und ungepatchter Software verbunden sind.

Die breitere Bedrohungslandschaft

Die Entdeckung von Msupedge erfolgt im Rahmen eines breiteren Trends, bei dem Bedrohungsakteure zunehmend und mit bemerkenswerter Geschwindigkeit auf neu entdeckte Schwachstellen abzielen. Nur einen Tag, nachdem die PHP-Betreuer den Patch für CVE-2024-4577 veröffentlicht hatten, beobachteten Sicherheitsforscher weitverbreitete Ausnutzungsversuche, darunter auch durch die berüchtigte TellYouThePass-Ransomware-Bande.

Diese schnellen Angriffsversuche unterstreichen die Dringlichkeit für Organisationen, Sicherheitspatches anzuwenden, sobald diese verfügbar sind. Verzögerungen bei der Patch-Verteilung können Angriffen wie denen mit Msupedge Tür und Tor öffnen, die verheerende Folgen für kompromittierte Systeme haben können.

Das Auftauchen von Msupedge ist ein deutliches Beispiel für die sich entwickelnden Taktiken von Cyberkriminellen, um Systeme zu infiltrieren und der Entdeckung zu entgehen. Indem sie DNS-Tunneling nutzen und kritische Schwachstellen ausnutzen, verfeinern Angreifer ihre Methoden ständig, was es Verteidigern zunehmend schwerer macht, ihre Netzwerke zu schützen. Unternehmen müssen wachsam bleiben, Patches umgehend anwenden und fortschrittliche Bedrohungserkennungstechniken einsetzen, um diesen neuen Bedrohungen immer einen Schritt voraus zu sein.