Kaip įsilaužėliai naudoja Msupedge kenkėjišką programą, kad įsiskverbtų į Windows tinklus per PHP Exploit
Neseniai išaugus kibernetinių grėsmių bangai, įsilaužėliai aktyviai diegia naujai atrastas užpakalines duris, pavadintas Msupedge, siekdami pažeisti „Windows“ sistemas. Ši sudėtinga kenkėjiška programa pirmą kartą buvo aptikta universiteto tinkle Taivane ir, kaip manoma, išnaudoja kritinį PHP pažeidžiamumą CVE-2024-4577, kad gautų neteisėtą prieigą ir paleistų savavališką kodą.
Table of Contents
Pažeidžiamumas esmėje
CVE-2024-4577 yra rimtas „Windows“ sistemų PHP-CGI (bendrosios šliuzo sąsajos) režimo trūkumas, pataisytas 2024 m. birželio mėn. Šis pažeidžiamumas leidžia užpuolikams įterpti argumentų ir nuotoliniu būdu vykdyti savavališką kodą. Trūkumas ypač kelia nerimą, nes jis turi įtakos PHP diegimams, veikiantiems CGI režimu, todėl tai yra didelės rizikos problema sistemoms, kurios dar nepritaikė pataisos. Išnaudojus šį pažeidžiamumą gali būti visiškai pažeista sistema, leidžianti užpuolikams visiškai valdyti tikslinį įrenginį.
Msupedge: nauja kenkėjiškų programų rūšis
„Msupedge“ užpakalinės durys ypač išsiskiria tuo, kad naudoja DNS srautą, kad galėtų susisiekti su savo komandų ir valdymo (C&C) serveriu. Ši technika, nors ir nėra nauja, gamtoje matoma retai. Šis metodas, žinomas kaip DNS tuneliavimas, naudoja dnscat2 įrankį, kad gautų duomenis į DNS užklausas ir atsakymus, todėl kenkėjiška programa gali slapta gauti komandas iš užpuolikų.
Patekęs į sistemą, Msupedge gali vykdyti daugybę komandų, kurias suaktyvina konkretūs IP adresai, susieti su jo C&C serveriu. Šios komandos apima procesų kūrimą, failų atsisiuntimą ir laikinųjų failų tvarkymą, suteikiant užpuolikams universalų įrankį, skirtą valdyti ir valdyti pažeistą sistemą.
Ataka veikiant
Pasak „Symantec“ grėsmių medžiotojų komandos, kuri tyrė incidentą, pradinis įsibrovimas į Taivano universiteto tinklą greičiausiai įvyko išnaudojant CVE-2024-4577 pažeidžiamumą. Užpuolikai įdiegė Msupedge kenkėjišką programą kaip dvi dinaminių nuorodų bibliotekas (DLL), weblog.dll ir wmiclnt.dll, o pirmoji buvo įkelta naudojant Apache httpd.exe procesą.
Ši ataka primena ankstesnius incidentus, kai buvo išnaudojamos panašios PHP spragos, tokios kaip CVE-2012-1823 trūkumas, kuris buvo naudojamas daugelį metų po pataisymo, siekiant platinti RubyMiner kenkėjišką programą. Tokių pažeidžiamumų išlikimas pabrėžia savalaikio pataisymo svarbą ir nuolatinę riziką, susijusią su senomis sistemomis ir nepataisyta programine įranga.
Platesnis grėsmės peizažas
Msupedge atradimas atsiranda dėl platesnės tendencijos, kai grėsmės veikėjai nepaprastai greitai taikosi į naujai atrastas spragas. Praėjus vos vienai dienai po to, kai PHP prižiūrėtojai išleido pataisą CVE-2024-4577, saugumo tyrinėtojai pastebėjo plačiai paplitusius išnaudojimo bandymus, įskaitant liūdnai pagarsėjusios „TellYouThePass“ išpirkos programų gaujos.
Šios sparčios išnaudojimo pastangos pabrėžia, kad organizacijoms būtina skubiai pritaikyti saugos pataisas, kai tik jos tampa prieinamos. Vėlavimas pataisyti gali atverti duris atakoms, tokioms kaip Msupedge, kurios gali turėti pražūtingų pasekmių pažeistoms sistemoms.
Msupedge atsiradimas yra ryškus priminimas apie besikeičiančią taktiką, kurią kibernetiniai nusikaltėliai naudoja siekdami įsiskverbti į sistemas ir išvengti aptikimo. Naudodami DNS tuneliavimą ir išnaudodami kritinius pažeidžiamumus, užpuolikai ir toliau tobulina savo metodus, todėl gynėjams tampa vis sunkiau apsaugoti savo tinklus. Organizacijos turi išlikti budrios, nedelsdamos pritaikyti pataisas ir naudoti pažangias grėsmių aptikimo technologijas, kad išvengtų šių kylančių grėsmių.
