Hvordan hackere bruker Msupedge Malware for å infiltrere Windows-nettverk via PHP-utnyttelse
I en nylig bølge av cybertrusler, blir en nyoppdaget bakdør ved navn Msupedge aktivt distribuert av hackere for å kompromittere Windows-systemer. Denne sofistikerte skadevare ble først identifisert på et universitets nettverk i Taiwan og antas å utnytte en kritisk PHP-sårbarhet, CVE-2024-4577, for å få uautorisert tilgang og utføre vilkårlig kode.
Table of Contents
Sårbarheten i kjernen
CVE-2024-4577 er en alvorlig feil i PHP-CGI (Common Gateway Interface)-modus på Windows-systemer, oppdatering i juni 2024. Dette sikkerhetsproblemet lar angripere injisere argumenter og kjøre vilkårlig kode eksternt. Feilen er spesielt bekymringsfull ettersom den påvirker PHP-installasjoner som kjører i CGI-modus, noe som gjør det til et høyrisikoproblem for systemer som ennå ikke har tatt i bruk oppdateringen. Utnyttelse av dette sikkerhetsproblemet kan føre til et fullstendig systemkompromittering, slik at angripere kan ta full kontroll over den målrettede maskinen.
Msupedge: En ny rase av skadelig programvare
Msupedge-bakdøren er spesielt kjent for bruken av DNS-trafikk for å kommunisere med kommando-og-kontroll-serveren (C&C), en teknikk som, selv om den ikke er ny, sjelden sees i naturen. Denne metoden, kjent som DNS-tunneling, utnytter dnscat2-verktøyet til å kapsle inn data i DNS-spørringer og -svar, slik at skadelig programvare kan motta kommandoer fra angriperne i det skjulte.
En gang inne i systemet kan Msupedge utføre en rekke kommandoer, utløst av spesifikke IP-adresser knyttet til C&C-serveren. Disse kommandoene inkluderer å lage prosesser, laste ned filer og administrere midlertidige filer, noe som gir angriperne et allsidig verktøy for å kontrollere og manipulere det kompromitterte systemet.
Angrepet i aksjon
Ifølge Symantecs Threat Hunter Team, som undersøkte hendelsen, skjedde det første innbruddet i det taiwanske universitetets nettverk sannsynligvis gjennom utnyttelse av CVE-2024-4577-sårbarheten. Angriperne distribuerte Msupedge malware som to dynamiske lenkebiblioteker (DLL), weblog.dll og wmiclnt.dll, hvor førstnevnte ble lastet av Apache httpd.exe-prosessen.
Dette angrepet minner om tidligere hendelser der lignende PHP-sårbarheter ble utnyttet, for eksempel CVE-2012-1823-feilen, som ble brukt år etter oppdateringen for å spre RubyMiner malware. Vedvaren av slike sårbarheter fremhever viktigheten av rettidig oppdatering og de pågående risikoene forbundet med eldre systemer og uopprettet programvare.
Det bredere trussellandskapet
Oppdagelsen av Msupedge kommer midt i en bredere trend med trusselaktører som i økende grad retter seg mot nyoppdagede sårbarheter med bemerkelsesverdig hastighet. Bare én dag etter at PHP-vedlikeholderne ga ut oppdateringen for CVE-2024-4577, observerte sikkerhetsforskere omfattende utnyttelsesforsøk, inkludert av den beryktede TellYouThePass løsepengevaregjengen.
Disse raske utnyttelsesinnsatsene understreker at det haster for organisasjoner å bruke sikkerhetsoppdateringer så snart de blir tilgjengelige. Forsinkelser i oppdateringen kan åpne døren for angrep som de som involverer Msupedge, som kan ha ødeleggende konsekvenser for kompromitterte systemer.
Fremveksten av Msupedge fungerer som en sterk påminnelse om de utviklende taktikkene som brukes av nettkriminelle for å infiltrere systemer og unngå oppdagelse. Ved å utnytte DNS-tunnelering og utnytte kritiske sårbarheter, fortsetter angripere å avgrense metodene sine, noe som gjør det stadig vanskeligere for forsvarere å beskytte nettverkene sine. Organisasjoner må være på vakt, bruke oppdateringer umiddelbart og bruke avanserte trusseldeteksjonsteknikker for å ligge i forkant av disse nye truslene.
