Atacantes desconhecidos implantaram um backdoor recém-descoberto chamado Msupedge nos sistemas Windows de uma universidade em Taiwan, provavelmente explorando uma vulnerabilidade de execução remota de código PHP recentemente corrigida (CVE-2024-4577).
CVE-2024-4577 é uma falha crítica de injeção de argumento PHP-CGI corrigida em junho que afeta instalações PHP operando em sistemas Windows com PHP em modo CGI.
Ela permite a atacantes não autenticados executar código arbitrário e leva à comprometimento total do sistema após a exploração bem-sucedida.
Os agentes de ameaças introduziram o malware como duas bibliotecas de links dinâmicos (weblog.dll e wmiclnt.dll), sendo a primeira carregada pelo processo Apache httpd.exe.
O recurso mais notável do Msupedge é o uso de tráfego DNS para comunicar com o servidor de comando e controle (C&C).
Embora muitos grupos de ameaças tenham adotado essa técnica no passado, ela não é comumente observada na prática.
Ele utiliza o DNS tunneling (uma funcionalidade implementada com base na ferramenta dnscat2 de código aberto), que permite a encapsulação de dados dentro de consultas e respostas DNS para receber comandos de seu servidor C&C.
Os atacantes podem usar o Msupedge para executar vários comandos, que são acionados com base no terceiro octeto do endereço IP resolvido do servidor C&C.
O backdoor também suporta múltiplos comandos, incluindo a criação de processos, download de arquivos e gerenciamento de arquivos temporários.
A Equipe de Caçadores de Ameaças da Symantec, que investigou o incidente e identificou o novo malware, acredita que os atacantes ganharam acesso aos sistemas comprometidos após explorar a vulnerabilidade CVE-2024-4577.
Esta falha de segurança contorna as proteções implementadas pela equipe do PHP para a
CVE-2012-1823
, que foi explorada em ataques de malware anos após sua remediação para mirar em servidores Linux e Windows com o malware RubyMiner.
“A intrusão inicial foi provavelmente através da exploração de uma vulnerabilidade PHP recentemente corrigida (CVE-2024-4577),” disse a Equipe de Caçadores de Ameaças da Symantec.
A Symantec observou múltiplos atores de ameaças varrendo sistemas vulneráveis nas últimas semanas.
Até o momento, não encontramos evidências que nos permitam atribuir essa ameaça, e o motivo por trás do ataque permanece desconhecido.
Na sexta-feira(16), um dia após os mantenedores do PHP lançarem os patches para CVE-2024-4577, a WatchTowr Labs liberou código de exploração proof-of-concept (PoC).
No mesmo dia, a Fundação Shadowserver relatou observar tentativas de exploração em seus honeypots.
Um dia depois, menos de 48 horas após o lançamento dos patches, a gangue de ransomware TellYouThePass também começou a explorar a vulnerabilidade para implantar webshells e criptografar os sistemas das vítimas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...