Como os hackers estão usando o malware Msupedge para se infiltrar em redes Windows por meio de exploração PHP

Em uma onda recente de ameaças cibernéticas, um backdoor recém-descoberto chamado Msupedge está sendo ativamente implantado por hackers para comprometer sistemas Windows. Este malware sofisticado foi identificado pela primeira vez na rede de uma universidade em Taiwan e acredita-se que explore uma vulnerabilidade crítica do PHP, CVE-2024-4577, para obter acesso não autorizado e executar código arbitrário.

A vulnerabilidade no núcleo

CVE-2024-4577 é uma falha grave no modo PHP-CGI (Common Gateway Interface) em sistemas Windows, corrigida em junho de 2024. Essa vulnerabilidade permite que invasores injetem argumentos e executem código arbitrário remotamente. A falha é particularmente preocupante, pois afeta instalações PHP em execução no modo CGI, tornando-se um problema de alto risco para sistemas que ainda não aplicaram o patch. Explorar essa vulnerabilidade pode levar a um comprometimento completo do sistema, permitindo que invasores assumam o controle total da máquina alvo.

Msupedge: Uma nova geração de malware

O backdoor Msupedge é particularmente notável por seu uso de tráfego DNS para se comunicar com seu servidor de comando e controle (C&C), uma técnica que, embora não seja nova, raramente é vista na natureza. Esse método, conhecido como tunelamento DNS, aproveita a ferramenta dnscat2 para encapsular dados dentro de consultas e respostas DNS, permitindo que o malware receba comandos dos invasores secretamente.

Uma vez dentro do sistema, o Msupedge pode executar uma série de comandos, acionados por endereços IP específicos associados ao seu servidor C&C. Esses comandos incluem a criação de processos, download de arquivos e gerenciamento de arquivos temporários, fornecendo aos invasores uma ferramenta versátil para controlar e manipular o sistema comprometido.

O Ataque em Ação

De acordo com a Equipe Threat Hunter da Symantec, que investigou o incidente, a intrusão inicial na rede da universidade taiwanesa provavelmente ocorreu por meio da exploração da vulnerabilidade CVE-2024-4577. Os invasores implantaram o malware Msupedge como duas bibliotecas de vínculo dinâmico (DLLs), weblog.dll e wmiclnt.dll, com a primeira sendo carregada pelo processo Apache httpd.exe.

Este ataque é uma reminiscência de incidentes anteriores em que vulnerabilidades semelhantes do PHP foram exploradas, como a falha CVE-2012-1823, que foi usada anos após seu patch para espalhar o malware RubyMiner. A persistência de tais vulnerabilidades destaca a importância de patches oportunos e os riscos contínuos associados a sistemas legados e softwares sem patches.

O panorama mais amplo de ameaças

A descoberta do Msupedge ocorre em meio a uma tendência mais ampla de agentes de ameaças cada vez mais mirando vulnerabilidades recém-descobertas com velocidade notável. Apenas um dia após os mantenedores do PHP lançarem o patch para CVE-2024-4577, pesquisadores de segurança observaram tentativas generalizadas de exploração, incluindo pela notória gangue de ransomware TellYouThePass.

Esses esforços rápidos de exploração ressaltam a urgência das organizações em aplicar patches de segurança assim que eles estiverem disponíveis. Atrasos na aplicação de patches podem abrir a porta para ataques como os que envolvem o Msupedge, que podem ter consequências devastadoras para sistemas comprometidos.

O surgimento do Msupedge serve como um lembrete gritante das táticas em evolução usadas por criminosos cibernéticos para se infiltrar em sistemas e evitar a detecção. Ao alavancar o tunelamento de DNS e explorar vulnerabilidades críticas, os invasores continuam a refinar seus métodos, tornando cada vez mais difícil para os defensores protegerem suas redes. As organizações devem permanecer vigilantes, aplicando patches prontamente e empregando técnicas avançadas de detecção de ameaças para ficar à frente dessas ameaças emergentes.