Как хакеры используют вредоносное ПО Msupedge для проникновения в сети Windows с помощью PHP-эксплойта
В недавнем всплеске киберугроз недавно обнаруженный бэкдор под названием Msupedge активно используется хакерами для компрометации систем Windows. Эта сложная вредоносная программа была впервые обнаружена в сети университета на Тайване и, как полагают, использует критическую уязвимость PHP, CVE-2024-4577, для получения несанкционированного доступа и выполнения произвольного кода.
Table of Contents
Уязвимость в основе
CVE-2024-4577 — это серьезная уязвимость в режиме PHP-CGI (Common Gateway Interface) в системах Windows, исправленная в июне 2024 года. Эта уязвимость позволяет злоумышленникам вводить аргументы и выполнять произвольный код удаленно. Уязвимость особенно тревожна, поскольку она влияет на установки PHP, работающие в режиме CGI, что делает ее высокорисковой проблемой для систем, на которых еще не применено исправление. Эксплуатация этой уязвимости может привести к полной компрометации системы, что позволит злоумышленникам получить полный контроль над целевой машиной.
Msupedge: новое поколение вредоносных программ
Бэкдор Msupedge особенно примечателен тем, что использует трафик DNS для связи со своим сервером управления и контроля (C&C), метод, который, хотя и не нов, редко встречается в дикой природе. Этот метод, известный как туннелирование DNS, использует инструмент dnscat2 для инкапсуляции данных в запросы и ответы DNS, что позволяет вредоносному ПО скрытно получать команды от злоумышленников.
Попав в систему, Msupedge может выполнять ряд команд, запускаемых определенными IP-адресами, связанными с его сервером C&C. Эти команды включают создание процессов, загрузку файлов и управление временными файлами, предоставляя злоумышленникам универсальный инструмент для контроля и манипулирования скомпрометированной системой.
Атака в действии
По данным группы Symantec Threat Hunter Team, которая расследовала инцидент, первоначальное проникновение в сеть тайваньского университета, вероятно, произошло посредством эксплуатации уязвимости CVE-2024-4577. Злоумышленники развернули вредоносное ПО Msupedge в виде двух динамически подключаемых библиотек (DLL), weblog.dll и wmiclnt.dll, причем первая загружалась процессом Apache httpd.exe.
Эта атака напоминает более ранние инциденты, в которых использовались похожие уязвимости PHP, такие как уязвимость CVE-2012-1823, которая использовалась спустя годы после ее исправления для распространения вредоносного ПО RubyMiner. Устойчивость таких уязвимостей подчеркивает важность своевременного исправления и постоянные риски, связанные с устаревшими системами и неисправленным программным обеспечением.
Более широкий ландшафт угроз
Открытие Msupedge произошло на фоне более широкой тенденции, когда злоумышленники все чаще и с поразительной скоростью нацеливаются на недавно обнаруженные уязвимости. Всего через день после того, как разработчики PHP выпустили исправление для CVE-2024-4577, исследователи безопасности заметили широкомасштабные попытки эксплуатации, в том числе со стороны печально известной банды вымогателей TellYouThePass.
Эти быстрые попытки эксплуатации подчеркивают срочность для организаций применять исправления безопасности, как только они становятся доступными. Задержки в исправлении могут открыть двери для атак, подобных тем, которые связаны с Msupedge, которые могут иметь разрушительные последствия для скомпрометированных систем.
Появление Msupedge служит суровым напоминанием о развивающейся тактике, используемой киберпреступниками для проникновения в системы и уклонения от обнаружения. Используя DNS-туннелирование и эксплуатируя критические уязвимости, злоумышленники продолжают совершенствовать свои методы, что делает все более сложным для защитников защиту своих сетей. Организации должны сохранять бдительность, оперативно применяя исправления и применяя передовые методы обнаружения угроз, чтобы опережать эти новые угрозы.
