駭客如何利用 Msupedge 惡意軟體透過 PHP 漏洞滲透 Windows 網絡

在最近激增的網路威脅中，駭客正在積極部署一個新發現的名為 Msupedge 的後門來危害 Windows 系統。這種複雜的惡意軟體首先在台灣一所大學的網路上被發現，據信利用關鍵的 PHP 漏洞 CVE-2024-4577 來獲得未經授權的存取並執行任意程式碼。

核心的漏洞

CVE-2024-4577是Windows系統上PHP-CGI（通用網關介面）模式的嚴重缺陷，已於2024年6月修補。該缺陷尤其令人擔憂，因為它會影響以 CGI 模式運行的 PHP 安裝，對於尚未套用該修補程式的系統來說，這是一個高風險問題。利用此漏洞可能會導致系統完全受損，從而使攻擊者能夠完全控制目標電腦。

Msupedge：新型惡意軟體

Msupedge 後門因其使用 DNS 流量與其命令和控制 (C&C) 伺服器進行通訊而特別引人注目，這種技術雖然不是什麼新技術，但在野外很少見。這種方法稱為 DNS 隧道，利用 dnscat2 工具將資料封裝在 DNS 查詢和回應中，從而允許惡意軟體秘密接收攻擊者的命令。

一旦進入系統，Msupedge 就可以執行一系列由與其 C&C 伺服器關聯的特定 IP 位址觸發的命令。這些命令包括建立進程、下載文件和管理臨時文件，為攻擊者提供了控制和操縱受感染系統的多功能工具。

行動中的攻擊

據調查該事件的賽門鐵克威脅獵人團隊稱，對台灣大學網路的最初入侵可能是透過利用 CVE-2024-4577 漏洞發生的。攻擊者將 Msupedge 惡意軟體部署為兩個動態連結程式庫 (DLL)：weblog.dll 和 wmiclnt.dll，前者由 Apache httpd.exe 進程載入。

這種攻擊讓人想起早期利用類似 PHP 漏洞的事件，例如 CVE-2012-1823 漏洞，該漏洞在修補程式發布多年後被用來傳播 RubyMiner 惡意軟體。此類漏洞的持續存在凸顯了及時修補的重要性以及與遺留系統和未修補軟體相關的持續風險。

更廣泛的威脅格局

Msupedge 的發現正值威脅行為者越來越多地以驚人的速度瞄準新發現的漏洞的更廣泛趨勢。就在 PHP 維護者發布 CVE-2024-4577 修補程式一天后，安全研究人員發現了廣泛的利用嘗試，其中包括臭名昭著的 TellYouThePass 勒索軟體團夥。

這些快速的利用工作強調了組織在安全性修補程式可用後立即應用它們的緊迫性。修補延遲可能會為涉及 Msupedge 的攻擊打開大門，這可能會對受感染的系統造成毀滅性後果。

Msupedge 的出現清楚地提醒人們，網路犯罪分子滲透系統和逃避偵測所使用的策略不斷演變。透過利用 DNS 隧道和利用關鍵漏洞，攻擊者不斷改進其方法，使防禦者越來越難以保護其網路。組織必須保持警惕，及時應用補丁，並採用先進的威脅偵測技術來領先這些新出現的威脅。