Hur hackare använder Msupedge Malware för att infiltrera Windows-nätverk via PHP Exploit
I en nyligen uppsjö av cyberhot har en nyupptäckt bakdörr vid namn Msupedge aktivt distribuerats av hackare för att äventyra Windows-system. Denna sofistikerade skadliga programvara identifierades först på ett universitets nätverk i Taiwan och tros utnyttja en kritisk PHP-sårbarhet, CVE-2024-4577, för att få obehörig åtkomst och exekvera godtycklig kod.
Table of Contents
Sårbarheten i kärnan
CVE-2024-4577 är ett allvarligt fel i PHP-CGI-läget (Common Gateway Interface) på Windows-system, patchad i juni 2024. Denna sårbarhet tillåter angripare att injicera argument och exekvera godtycklig kod på distans. Felet är särskilt oroande eftersom det påverkar PHP-installationer som körs i CGI-läge, vilket gör det till ett högriskproblem för system som ännu inte har applicerat patchen. Att utnyttja denna sårbarhet kan leda till en fullständig systemkompromiss, vilket gör att angripare kan ta full kontroll över den riktade maskinen.
Msupedge: En ny ras av skadlig programvara
Msupedge-bakdörren är särskilt känd för sin användning av DNS-trafik för att kommunicera med sin kommando-och-kontroll-server (C&C), en teknik som, även om den inte är ny, sällan ses i det vilda. Denna metod, känd som DNS-tunnling, utnyttjar verktyget dnscat2 för att kapsla in data i DNS-frågor och -svar, vilket gör att skadlig programvara kan ta emot kommandon från angriparna i hemlighet.
Väl inne i systemet kan Msupedge utföra en rad kommandon, utlösta av specifika IP-adresser associerade med dess C&C-server. Dessa kommandon inkluderar att skapa processer, ladda ner filer och hantera temporära filer, vilket ger angriparna ett mångsidigt verktyg för att kontrollera och manipulera det komprometterade systemet.
Attacken i aktion
Enligt Symantecs Threat Hunter Team, som undersökte incidenten, skedde det första intrånget i det taiwanesiska universitetets nätverk troligen genom att exploatera CVE-2024-4577-sårbarheten. Angriparna distribuerade Msupedge skadlig programvara som två dynamiska länkbibliotek (DLL), weblog.dll och wmiclnt.dll, där den förra laddades av Apache httpd.exe-processen.
Den här attacken påminner om tidigare incidenter där liknande PHP-sårbarheter utnyttjades, såsom CVE-2012-1823-felet, som användes flera år efter patchen för att sprida RubyMiner-skadlig programvara. Att sådana sårbarheter kvarstår visar på vikten av snabb patchning och de pågående riskerna som är förknippade med äldre system och oparpad programvara.
Det bredare hotlandskapet
Upptäckten av Msupedge kommer mitt i en bredare trend där hotaktörer i allt högre grad riktar sig mot nyupptäckta sårbarheter med anmärkningsvärd hastighet. Bara en dag efter att PHP-underhållarna släppte patchen för CVE-2024-4577, observerade säkerhetsforskare omfattande utnyttjandeförsök, inklusive av det ökända TellYouThePass ransomware-gänget.
Dessa snabba exploateringsinsatser understryker vikten av att organisationer tillämpar säkerhetskorrigeringar så snart de blir tillgängliga. Förseningar i patchningen kan öppna dörren för attacker som de som involverar Msupedge, vilket kan få förödande konsekvenser för komprometterade system.
Framväxten av Msupedge tjänar som en skarp påminnelse om den utvecklande taktiken som används av cyberkriminella för att infiltrera system och undvika upptäckt. Genom att utnyttja DNS-tunnlar och utnyttja kritiska sårbarheter fortsätter angripare att förfina sina metoder, vilket gör det allt svårare för försvarare att skydda sina nätverk. Organisationer måste vara vaksamma, applicera patchar omedelbart och använda avancerade hotdetekteringstekniker för att ligga steget före dessa nya hot.
