Hogyan használnak a hackerek az Msupedge malware-t a Windows hálózatokba való beszivárgásra a PHP Exploit segítségével
A kiberfenyegetések közelmúltban megnövekedett hullámában a hackerek aktívan bevetik az Msupedge nevű, újonnan felfedezett hátsó ajtót, hogy feltörjék a Windows rendszereket. Ezt a kifinomult rosszindulatú programot először egy tajvani egyetem hálózatán azonosították, és feltételezések szerint a PHP kritikus biztonsági rését, a CVE-2024-4577-et kihasználva jogosulatlan hozzáférést szerezhet, és tetszőleges kódot futtathat.
Table of Contents
A sebezhetőség a lényegben
A CVE-2024-4577 súlyos hibája a PHP-CGI (Common Gateway Interface) módnak Windows rendszereken, amelyet 2024 júniusában javítottak ki. Ez a biztonsági rés lehetővé teszi a támadók számára argumentumok beszúrását és tetszőleges kód távoli futtatását. A hiba különösen aggasztó, mivel a CGI módban futó PHP-telepítéseket érinti, így nagy kockázatot jelent azoknál a rendszereknél, amelyek még nem alkalmazták a javítást. A biztonsági rés kihasználása a rendszer teljes feltöréséhez vezethet, lehetővé téve a támadók számára, hogy teljes mértékben átvegyék az irányítást a megcélzott gép felett.
Msupedge: A rosszindulatú programok új fajtája
Az Msupedge backdoor különösen figyelemre méltó, hogy DNS-forgalmat használ a parancs- és vezérlőszerverével való kommunikációhoz, ez a technika, bár nem új, a vadonban ritkán látható. Ez a DNS-alagútként ismert módszer a dnscat2 eszközt használja fel az adatok DNS-lekérdezésekbe és válaszokba való beágyazásához, lehetővé téve a rosszindulatú programok számára, hogy rejtett parancsokat kapjanak a támadóktól.
A rendszerbe kerülve az Msupedge számos parancsot végrehajthat, amelyeket a C&C szerveréhez társított adott IP-címek váltanak ki. Ezek a parancsok magukban foglalják a folyamatok létrehozását, a fájlok letöltését és az ideiglenes fájlok kezelését, amelyek sokoldalú eszközt biztosítanak a támadóknak a feltört rendszer ellenőrzésére és manipulálására.
A támadás akcióban
Az esetet kivizsgáló Symantec Threat Hunter Team szerint a kezdeti behatolás a tajvani egyetem hálózatába valószínűleg a CVE-2024-4577 biztonsági rést kihasználva történt. A támadók két dinamikus hivatkozási könyvtárként (DLL) telepítették az Msupedge kártevőt, a weblog.dll-t és a wmiclnt.dll-t, az előbbit az Apache httpd.exe folyamata tölti be.
Ez a támadás olyan korábbi incidensekre emlékeztet, ahol hasonló PHP sebezhetőségeket használtak ki, mint például a CVE-2012-1823 hibát, amelyet évekkel a javítása után használtak a RubyMiner kártevő terjesztésére. Az ilyen sérülékenységek fennmaradása rávilágít az időben történő javítás fontosságára, valamint az örökölt rendszerekkel és a javítatlan szoftverekkel kapcsolatos folyamatos kockázatokra.
A tágabb fenyegetéstáj
Az Msupedge felfedezése a fenyegetés szereplőinek szélesebb körű tendenciája közepette, egyre gyakrabban veszi célba az újonnan felfedezett sebezhetőségeket, figyelemre méltó sebességgel. Mindössze egy nappal azután, hogy a PHP karbantartói kiadták a CVE-2024-4577 javítást, a biztonsági kutatók széleskörű kihasználási kísérleteket figyeltek meg, többek között a hírhedt TellYouThePass ransomware banda részéről.
Ezek a gyors kihasználási erőfeszítések rávilágítanak arra, hogy a szervezeteknek sürgősen alkalmazniuk kell a biztonsági javításokat, amint azok elérhetővé válnak. A javítások késése megnyithatja az ajtót az olyan támadások előtt, mint például az Msupedge-t érintő támadások, amelyek pusztító következményekkel járhatnak a kompromittált rendszerekre nézve.
Az Msupedge megjelenése éles emlékeztetőül szolgál a kiberbűnözők által a rendszerekbe való behatolás és az észlelés elkerülése érdekében alkalmazott taktikák fejlődésére. A DNS-alagút kihasználásával és a kritikus sérülékenységek kihasználásával a támadók tovább finomítják módszereiket, így a védők egyre nehezebbé teszik hálózataik védelmét. A szervezeteknek ébernek kell maradniuk, azonnal telepíteniük kell a javításokat, és fejlett fenyegetésészlelési technikákat kell alkalmazniuk, hogy megelőzzék ezeket az újonnan megjelenő fenyegetéseket.
