ИБ-специалисты обнаружили, что неизвестные злоумышленники развернули в Windows-системах одного из университетов Тайваня ранее неизвестный бэкдор под названием Msupedge. Для атаки на образовательное учреждение, судя по всему, использовалась недавно исправленная RCE-уязвимость в PHP (CVE-2024-4577).
Напомним, что RCE-уязвимость CVE-2024-4577 (9,8 балла по шкале CVSS) в PHP-CGI была раскрыта в начале июня 2024 года. Она позволяет злоумышленнику удаленно выполнять вредоносные команды в Windows-системах. Проблема усугубляется при использовании некоторых локализаций, которые более восприимчивы к этому багу, включая традиционный китайский, упрощенный китайский и японский.
Как теперь сообщили специалисты Symantec Threat Hunter Team, Msupedge распространялся при помощи двух библиотек (weblog.dll и wmiclnt.dll), первая из которых загружалась процессом httpd.exe Apache, а родительский процесс для второй DLL остался неустановленным.
Отличительной особенностью Msupedge эксперты называют использование DNS-трафика для связи с управляющим сервером. DNS-туннелирование (функция реализована на базе опенсорсного инструмента dnscat2) позволяет хакерам инкапсулировать данные в DNS-запросы и ответы для получения команд от управляющего сервера. Так, злоумышленники могут использовать Msupedge для выполнения различных команд, которые запускаются на основе третьего октета разрешенного IP-адреса управляющего сервера.
И хотя некоторые хак-группы использовали такие методы в прошлом, отмечается, что в реальных атаках они все же встречаются редко.
Что касается самого бэкдора, эксперты предупредили, что Msupedge мог использоваться хакерами для выполнения различных команд, включая создание процессов, загрузку файлов и управление временными файлами.
Стоит отметить, что проблема CVE-2024-4577 уже используется для атак и другими хакерами. К примеру, в июле 2024 года специалисты Akamai сообщали, что множество злоумышленников используют эту уязвимость для распространения троянов удаленного доступа, криптовалютных майнеров и организации DDoS-атак.
В том же месяце аналитики компании Imperva писали, что баг начали эксплуатировать участники вымогательской группировки TellYouThePass для распространения .NET-варианта своего шифровальщика.
