Категория > Новости > Уязвимость в PHP используется для доставки бэкдора Msupedge - «Новости»

Уязвимость в PHP используется для доставки бэкдора Msupedge - «Новости»


25-08-2024, 00:00. Автор: Richardson

ИБ-специалисты обнаружили, что неизвестные злоумышленники развернули в Windows-системах одного из университетов Тайваня ранее неизвестный бэкдор под названием Msupedge. Для атаки на образовательное учреждение, судя по всему, использовалась недавно исправленная RCE-уязвимость в PHP (CVE-2024-4577).


Напомним, что RCE-уязвимость CVE-2024-4577 (9,8 балла по шкале CVSS) в PHP-CGI была раскрыта в начале июня 2024 года. Она позволяет злоумышленнику удаленно выполнять вредоносные команды в Windows-системах. Проблема усугубляется при использовании некоторых локализаций, которые более восприимчивы к этому багу, включая традиционный китайский, упрощенный китайский и японский.


Как теперь сообщили специалисты Symantec Threat Hunter Team, Msupedge распространялся при помощи двух библиотек (weblog.dll и wmiclnt.dll), первая из которых загружалась процессом httpd.exe Apache, а родительский процесс для второй DLL остался неустановленным.


Отличительной особенностью Msupedge эксперты называют использование DNS-трафика для связи с управляющим сервером. DNS-туннелирование (функция реализована на базе опенсорсного инструмента dnscat2) позволяет хакерам инкапсулировать данные в DNS-запросы и ответы для получения команд от управляющего сервера. Так, злоумышленники могут использовать Msupedge для выполнения различных команд, которые запускаются на основе третьего октета разрешенного IP-адреса управляющего сервера.


И хотя некоторые хак-группы использовали такие методы в прошлом, отмечается, что в реальных атаках они все же встречаются редко.


Что касается самого бэкдора, эксперты предупредили, что Msupedge мог использоваться хакерами для выполнения различных команд, включая создание процессов, загрузку файлов и управление временными файлами.


Стоит отметить, что проблема CVE-2024-4577 уже используется для атак и другими хакерами. К примеру, в июле 2024 года специалисты Akamai сообщали, что множество злоумышленников используют эту  уязвимость для распространения троянов удаленного доступа, криптовалютных майнеров и организации DDoS-атак.


В том же месяце аналитики компании Imperva писали, что баг начали эксплуатировать участники вымогательской группировки TellYouThePass для распространения .NET-варианта своего шифровальщика.


Перейти обратно к новости