Jak hakerzy wykorzystują złośliwe oprogramowanie Msupedge do infiltracji sieci Windows za pomocą exploita PHP
W ostatnim wzroście cyberzagrożeń hakerzy aktywnie wdrażają nowo odkryte tylne wejście o nazwie Msupedge, aby włamać się do systemów Windows. To wyrafinowane złośliwe oprogramowanie zostało po raz pierwszy zidentyfikowane w sieci uniwersytetu na Tajwanie i uważa się, że wykorzystuje ono krytyczną lukę w zabezpieczeniach PHP, CVE-2024-4577, aby uzyskać nieautoryzowany dostęp i wykonać dowolny kod.
Table of Contents
Usterka w sercu
CVE-2024-4577 to poważna luka w trybie PHP-CGI (Common Gateway Interface) w systemach Windows, załatana w czerwcu 2024 r. Ta luka umożliwia atakującym wstrzykiwanie argumentów i zdalne wykonywanie dowolnego kodu. Luka jest szczególnie niepokojąca, ponieważ dotyczy instalacji PHP działających w trybie CGI, co czyni ją problemem wysokiego ryzyka dla systemów, w których jeszcze nie zastosowano poprawki. Wykorzystanie tej luki może doprowadzić do całkowitego naruszenia bezpieczeństwa systemu, umożliwiając atakującym przejęcie pełnej kontroli nad docelową maszyną.
Msupedge: nowy rodzaj złośliwego oprogramowania
Backdoor Msupedge jest szczególnie znany z wykorzystywania ruchu DNS do komunikacji z serwerem poleceń i kontroli (C&C), techniki, która, choć nie jest nowa, jest rzadko spotykana w praktyce. Ta metoda, znana jako tunelowanie DNS, wykorzystuje narzędzie dnscat2 do enkapsulacji danych w zapytaniach i odpowiedziach DNS, umożliwiając złośliwemu oprogramowaniu otrzymywanie poleceń od atakujących w sposób ukryty.
Po wejściu do systemu Msupedge może wykonać szereg poleceń, wyzwalanych przez określone adresy IP powiązane z serwerem C&C. Polecenia te obejmują tworzenie procesów, pobieranie plików i zarządzanie plikami tymczasowymi, zapewniając atakującym wszechstronne narzędzie do kontrolowania i manipulowania naruszonym systemem.
Atak w akcji
Według zespołu Threat Hunter firmy Symantec, który badał incydent, początkowe włamanie do sieci tajwańskiego uniwersytetu nastąpiło prawdopodobnie poprzez wykorzystanie luki CVE-2024-4577. Atakujący wdrożyli złośliwe oprogramowanie Msupedge jako dwie biblioteki DLL (Dynamic Link Library), weblog.dll i wmiclnt.dll, przy czym pierwsza została załadowana przez proces httpd.exe Apache.
Ten atak przypomina wcześniejsze incydenty, w których wykorzystywano podobne luki PHP, takie jak luka CVE-2012-1823, która była używana lata po jej poprawce do rozprzestrzeniania złośliwego oprogramowania RubyMiner. Trwałość takich luk podkreśla znaczenie terminowego łatania i ciągłe ryzyko związane ze starszymi systemami i niezałatanym oprogramowaniem.
Szerszy krajobraz zagrożeń
Odkrycie Msupedge wpisuje się w szerszy trend coraz częstszego atakowania przez aktorów zagrożeń nowo odkrytych luk z niezwykłą szybkością. Zaledwie dzień po tym, jak opiekunowie PHP wydali poprawkę dla CVE-2024-4577, badacze bezpieczeństwa zaobserwowali szeroko zakrojone próby wykorzystania luk, w tym przez niesławny gang ransomware TellYouThePass.
Te szybkie działania eksploatacyjne podkreślają pilną potrzebę stosowania przez organizacje poprawek bezpieczeństwa, gdy tylko staną się dostępne. Opóźnienia w łataniu mogą otworzyć drzwi atakom takim jak te z udziałem Msupedge, które mogą mieć katastrofalne konsekwencje dla zagrożonych systemów.
Pojawienie się Msupedge jest jaskrawym przypomnieniem ewoluujących taktyk stosowanych przez cyberprzestępców w celu infiltracji systemów i unikania wykrycia. Wykorzystując tunelowanie DNS i eksploatując krytyczne luki, atakujący nadal udoskonalają swoje metody, co sprawia, że obrońcom coraz trudniej jest chronić swoje sieci. Organizacje muszą zachować czujność, szybko stosować poprawki i stosować zaawansowane techniki wykrywania zagrożeń, aby wyprzedzać te pojawiające się zagrożenia.
