Hoe hackers Msupedge-malware gebruiken om Windows-netwerken te infiltreren via PHP-exploit

In een recente golf van cyberdreigingen wordt een nieuw ontdekte backdoor genaamd Msupedge actief ingezet door hackers om Windows-systemen te compromitteren. Deze geavanceerde malware werd voor het eerst geïdentificeerd op het netwerk van een universiteit in Taiwan en zou een kritieke PHP-kwetsbaarheid, CVE-2024-4577, misbruiken om ongeautoriseerde toegang te krijgen en willekeurige code uit te voeren.

De kwetsbaarheid in de kern

CVE-2024-4577 is een ernstige fout in de PHP-CGI (Common Gateway Interface)-modus op Windows-systemen, die in juni 2024 werd gepatcht. Deze kwetsbaarheid stelt aanvallers in staat om argumenten te injecteren en willekeurige code op afstand uit te voeren. De fout is met name zorgwekkend omdat deze PHP-installaties treft die in de CGI-modus worden uitgevoerd, waardoor het een risicovol probleem is voor systemen die de patch nog niet hebben toegepast. Het misbruiken van deze kwetsbaarheid kan leiden tot een volledige systeemcompromittering, waardoor aanvallers volledige controle over de doelmachine kunnen krijgen.

Msupedge: een nieuw soort malware

De Msupedge backdoor is vooral opmerkelijk vanwege het gebruik van DNS-verkeer om te communiceren met zijn command-and-control (C&C) server, een techniek die, hoewel niet nieuw, zelden in het wild wordt gezien. Deze methode, bekend als DNS-tunneling, maakt gebruik van de dnscat2-tool om gegevens in DNS-query's en -reacties te encapsuleren, waardoor de malware heimelijk opdrachten van de aanvallers kan ontvangen.

Eenmaal binnen het systeem kan Msupedge een reeks opdrachten uitvoeren, geactiveerd door specifieke IP-adressen die gekoppeld zijn aan de C&C-server. Deze opdrachten omvatten het maken van processen, het downloaden van bestanden en het beheren van tijdelijke bestanden, waardoor aanvallers een veelzijdige tool krijgen om het gecompromitteerde systeem te controleren en te manipuleren.

De aanval in actie

Volgens het Threat Hunter Team van Symantec, dat het incident onderzocht, vond de eerste inbraak in het netwerk van de Taiwanese universiteit waarschijnlijk plaats via het exploiteren van de CVE-2024-4577-kwetsbaarheid. De aanvallers implementeerden de Msupedge-malware als twee dynamische linkbibliotheken (DLL's), weblog.dll en wmiclnt.dll, waarbij de eerste werd geladen door het Apache httpd.exe-proces.

Deze aanval doet denken aan eerdere incidenten waarbij vergelijkbare PHP-kwetsbaarheden werden uitgebuit, zoals de CVE-2012-1823-fout, die jaren na de patch werd gebruikt om de RubyMiner-malware te verspreiden. De persistentie van dergelijke kwetsbaarheden benadrukt het belang van tijdige patching en de voortdurende risico's die gepaard gaan met verouderde systemen en ongepatchte software.

Het bredere dreigingslandschap

De ontdekking van Msupedge komt te midden van een bredere trend van bedreigingsactoren die zich steeds vaker richten op nieuw ontdekte kwetsbaarheden met opmerkelijke snelheid. Slechts één dag nadat de PHP-beheerders de patch voor CVE-2024-4577 uitbrachten, observeerden beveiligingsonderzoekers wijdverbreide exploitatiepogingen, waaronder door de beruchte TellYouThePass-ransomwarebende.

Deze snelle exploitatiepogingen onderstrepen de urgentie voor organisaties om beveiligingspatches toe te passen zodra ze beschikbaar zijn. Vertragingen in het patchen kunnen de deur openen voor aanvallen zoals die met Msupedge, die verwoestende gevolgen kunnen hebben voor gecompromitteerde systemen.

De opkomst van Msupedge dient als een grimmige herinnering aan de evoluerende tactieken die cybercriminelen gebruiken om systemen te infiltreren en detectie te ontwijken. Door DNS-tunneling te gebruiken en kritieke kwetsbaarheden te exploiteren, blijven aanvallers hun methoden verfijnen, waardoor het voor verdedigers steeds moeilijker wordt om hun netwerken te beschermen. Organisaties moeten waakzaam blijven, patches snel toepassen en geavanceerde technieken voor bedreigingsdetectie gebruiken om deze opkomende bedreigingen voor te blijven.