Категория > Новости > Уязвимость в PHP используется для доставки бэкдора Msupedge - «Новости»
Уязвимость в PHP используется для доставки бэкдора Msupedge - «Новости»25-08-2024, 00:00. Автор: Richardson |
ИБ-специалисты обнаружили, что неизвестные злоумышленники развернули в Windows-системах одного из университетов Тайваня ранее неизвестный бэкдор под названием Msupedge. Для атаки на образовательное учреждение, судя по всему, использовалась недавно исправленная RCE-уязвимость в PHP (CVE-2024-4577). Напомним, что RCE-уязвимость CVE-2024-4577 (9,8 балла по шкале CVSS) в PHP-CGI была раскрыта в начале июня 2024 года. Она позволяет злоумышленнику удаленно выполнять вредоносные команды в Windows-системах. Проблема усугубляется при использовании некоторых локализаций, которые более восприимчивы к этому багу, включая традиционный китайский, упрощенный китайский и японский. Как теперь сообщили специалисты Symantec Threat Hunter Team, Msupedge распространялся при помощи двух библиотек (weblog.dll и wmiclnt.dll), первая из которых загружалась процессом httpd.exe Apache, а родительский процесс для второй DLL остался неустановленным. Отличительной особенностью Msupedge эксперты называют использование DNS-трафика для связи с управляющим сервером. DNS-туннелирование (функция реализована на базе опенсорсного инструмента dnscat2) позволяет хакерам инкапсулировать данные в DNS-запросы и ответы для получения команд от управляющего сервера. Так, злоумышленники могут использовать Msupedge для выполнения различных команд, которые запускаются на основе третьего октета разрешенного IP-адреса управляющего сервера. И хотя некоторые хак-группы использовали такие методы в прошлом, отмечается, что в реальных атаках они все же встречаются редко. Что касается самого бэкдора, эксперты предупредили, что Msupedge мог использоваться хакерами для выполнения различных команд, включая создание процессов, загрузку файлов и управление временными файлами. Стоит отметить, что проблема CVE-2024-4577 уже используется для атак и другими хакерами. К примеру, в июле 2024 года специалисты Akamai сообщали, что множество злоумышленников используют эту уязвимость для распространения троянов удаленного доступа, криптовалютных майнеров и организации DDoS-атак. В том же месяце аналитики компании Imperva писали, что баг начали эксплуатировать участники вымогательской группировки TellYouThePass для распространения .NET-варианта своего шифровальщика. Перейти обратно к новости |