Come gli hacker stanno usando il malware Msupedge per infiltrarsi nelle reti Windows tramite exploit PHP
In una recente ondata di minacce informatiche, una backdoor appena scoperta chiamata Msupedge è stata attivamente distribuita dagli hacker per compromettere i sistemi Windows. Questo malware sofisticato è stato identificato per la prima volta sulla rete di un'università a Taiwan e si ritiene che sfrutti una vulnerabilità PHP critica, CVE-2024-4577, per ottenere un accesso non autorizzato ed eseguire codice arbitrario.
Table of Contents
La vulnerabilità al centro
CVE-2024-4577 è una grave falla nella modalità PHP-CGI (Common Gateway Interface) sui sistemi Windows, patchata a giugno 2024. Questa vulnerabilità consente agli aggressori di iniettare argomenti ed eseguire codice arbitrario da remoto. La falla è particolarmente preoccupante in quanto colpisce le installazioni PHP in esecuzione in modalità CGI, rendendola un problema ad alto rischio per i sistemi che non hanno ancora applicato la patch. Sfruttare questa vulnerabilità può portare a una completa compromissione del sistema, consentendo agli aggressori di assumere il pieno controllo della macchina presa di mira.
Msupedge: una nuova specie di malware
La backdoor Msupedge è particolarmente degna di nota per il suo utilizzo del traffico DNS per comunicare con il suo server di comando e controllo (C&C), una tecnica che, sebbene non nuova, è raramente vista in natura. Questo metodo, noto come tunneling DNS, sfrutta lo strumento dnscat2 per incapsulare i dati all'interno di query e risposte DNS, consentendo al malware di ricevere comandi dagli aggressori in modo occulto.
Una volta all'interno del sistema, Msupedge può eseguire una serie di comandi, attivati da indirizzi IP specifici associati al suo server C&C. Questi comandi includono la creazione di processi, il download di file e la gestione di file temporanei, fornendo agli aggressori uno strumento versatile per controllare e manipolare il sistema compromesso.
L'attacco in azione
Secondo il Threat Hunter Team di Symantec, che ha indagato sull'incidente, l'intrusione iniziale nella rete dell'università taiwanese è probabilmente avvenuta tramite lo sfruttamento della vulnerabilità CVE-2024-4577. Gli aggressori hanno distribuito il malware Msupedge come due librerie a collegamento dinamico (DLL), weblog.dll e wmiclnt.dll, con la prima caricata dal processo Apache httpd.exe.
Questo attacco ricorda incidenti precedenti in cui sono state sfruttate vulnerabilità PHP simili, come la falla CVE-2012-1823, che è stata utilizzata anni dopo la sua patch per diffondere il malware RubyMiner. La persistenza di tali vulnerabilità evidenzia l'importanza di patch tempestive e i rischi continui associati ai sistemi legacy e al software non patchato.
Il panorama più ampio delle minacce
La scoperta di Msupedge avviene in un contesto più ampio di attori di minacce che prendono sempre più di mira vulnerabilità appena scoperte con una velocità notevole. Solo un giorno dopo che i manutentori di PHP hanno rilasciato la patch per CVE-2024-4577, i ricercatori di sicurezza hanno osservato tentativi di sfruttamento diffusi, tra cui quelli della famigerata gang di ransomware TellYouThePass.
Questi rapidi sforzi di sfruttamento sottolineano l'urgenza per le organizzazioni di applicare patch di sicurezza non appena diventano disponibili. I ritardi nell'applicazione delle patch possono aprire la porta ad attacchi come quelli che coinvolgono Msupedge, che possono avere conseguenze devastanti per i sistemi compromessi.
L'emergere di Msupedge serve come un duro promemoria delle tattiche in evoluzione utilizzate dai criminali informatici per infiltrarsi nei sistemi ed eludere il rilevamento. Sfruttando il tunneling DNS e sfruttando vulnerabilità critiche, gli aggressori continuano a perfezionare i loro metodi, rendendo sempre più difficile per i difensori proteggere le loro reti. Le organizzazioni devono rimanere vigili, applicando prontamente le patch e impiegando tecniche avanzate di rilevamento delle minacce per rimanere al passo con queste minacce emergenti.
