ハッカーがPHPエクスプロイトを介してMsupedgeマルウェアを使用してWindowsネットワークに侵入する方法
最近のサイバー脅威の急増で、新たに発見された Msupedge というバックドアが、Windows システムを侵害するためにハッカーによって積極的に展開されています。この高度なマルウェアは、台湾の大学のネットワークで最初に確認され、重大な PHP の脆弱性 CVE-2024-4577 を悪用して不正アクセスを取得し、任意のコードを実行すると考えられています。
Table of Contents
根底にある脆弱性
CVE-2024-4577 は、Windows システムの PHP-CGI (Common Gateway Interface) モードの重大な欠陥で、2024 年 6 月に修正されました。この脆弱性により、攻撃者は引数を挿入し、リモートで任意のコードを実行できます。この欠陥は、CGI モードで実行されている PHP インストールに影響を与えるため特に懸念されており、まだパッチを適用していないシステムにとってはリスクの高い問題となっています。この脆弱性を悪用すると、システムが完全に侵害され、攻撃者が標的のマシンを完全に制御できるようになります。
Msupedge: 新しい種類のマルウェア
Msupedge バックドアは、コマンド アンド コントロール (C&C) サーバーとの通信に DNS トラフィックを使用する点が特に注目に値します。この手法は新しいものではありませんが、実際に見られることはめったにありません。DNS トンネリングと呼ばれるこの手法は、dnscat2 ツールを利用して DNS クエリと応答内にデータをカプセル化し、マルウェアが攻撃者から密かにコマンドを受信できるようにします。
システム内に侵入すると、Msupedge は C&C サーバーに関連付けられた特定の IP アドレスによってトリガーされるさまざまなコマンドを実行できます。これらのコマンドには、プロセスの作成、ファイルのダウンロード、一時ファイルの管理などがあり、攻撃者に侵入したシステムを制御および操作するための多目的ツールを提供します。
攻撃の実際
この事件を調査したシマンテックの脅威ハンターチームによると、台湾の大学のネットワークへの最初の侵入は、CVE-2024-4577 の脆弱性を悪用して行われた可能性が高いとのことです。攻撃者は、Msupedge マルウェアを 2 つのダイナミック リンク ライブラリ (DLL)、weblog.dll と wmiclnt.dll として展開し、前者は Apache httpd.exe プロセスによって読み込まれました。
この攻撃は、CVE-2012-1823 の欠陥など、同様の PHP の脆弱性が悪用された過去の事件を彷彿とさせます。この欠陥は、パッチが当てられてから何年も経ってから RubyMiner マルウェアを拡散するために使用されました。このような脆弱性が依然として残っていることは、タイムリーなパッチ適用の重要性と、レガシー システムやパッチが適用されていないソフトウェアに関連する継続的なリスクを浮き彫りにしています。
より広範な脅威の状況
Msupedge の発見は、脅威アクターが新たに発見された脆弱性を驚くべき速さでますます狙うようになっているという広範な傾向の中で起こった。PHP のメンテナーが CVE-2024-4577 のパッチをリリースしたわずか 1 日後、セキュリティ研究者は、悪名高い TellYouThePass ランサムウェア集団によるものも含め、広範囲にわたる悪用試行を観察した。
こうした急速な悪用活動は、セキュリティ パッチが利用可能になったらすぐに組織がそれを適用する緊急性を強調しています。パッチの適用が遅れると、Msupedge のような攻撃にさらされる可能性があり、侵害されたシステムに壊滅的な結果をもたらす可能性があります。
Msupedge の出現は、サイバー犯罪者がシステムに侵入し、検出を回避するために使用する戦術が進化していることをはっきりと思い出させるものです。DNS トンネリングを活用し、重大な脆弱性を悪用することで、攻撃者は手法を改良し続けており、防御側がネットワークを保護することがますます困難になっています。組織は警戒を怠らず、パッチを速やかに適用し、高度な脅威検出技術を採用して、これらの新たな脅威に先手を打たなければなりません。
