Cybersicherheitsexperten haben einen bisher unbekannten Backdoor namens „Msupedge“ entdeckt, der von Angreifern auf Windows-Systemen einer taiwanesischen Universität installiert wurde. Der Angriff nutzte offenbar eine kürzlich behobene Remote Code Execution (RCE)-Schwachstelle in PHP (CVE-2024-4577) aus. Diese Entdeckung unterstreicht die anhaltende Bedrohung durch Zero-Day-Exploits und die Notwendigkeit zeitnaher Sicherheitsupdates.
Details zur PHP-Schwachstelle CVE-2024-4577
Die Anfang Juni 2024 offengelegte RCE-Schwachstelle CVE-2024-4577 in PHP-CGI erhielt einen kritischen CVSS-Score von 9,8. Sie ermöglicht Angreifern die Ausführung bösartiger Befehle auf Windows-Systemen aus der Ferne. Besonders anfällig sind Systeme mit bestimmten Lokalisierungen, darunter traditionelles und vereinfachtes Chinesisch sowie Japanisch. Diese Tatsache könnte erklären, warum eine taiwanesische Einrichtung zum Ziel wurde.
Funktionsweise und Besonderheiten von Msupedge
Laut Analysen des Symantec Threat Hunter Teams verbreitet sich Msupedge über zwei Bibliotheken: weblog.dll und wmiclnt.dll. Die erste wird vom Apache httpd.exe-Prozess geladen, während der übergeordnete Prozess der zweiten DLL unbekannt bleibt. Eine bemerkenswerte Eigenschaft von Msupedge ist die Verwendung von DNS-Tunneling für die Kommunikation mit dem Command-and-Control (C2) Server.
DNS-Tunneling als Tarnungstechnik
Die DNS-Tunneling-Funktion, die auf dem Open-Source-Tool dnscat2 basiert, ermöglicht es den Angreifern, Daten in DNS-Anfragen und -Antworten zu kapseln. Dies dient zum Empfang von Befehlen vom C2-Server und zur Umgehung herkömmlicher Sicherheitsmaßnahmen. Obwohl einige Hackergruppen in der Vergangenheit ähnliche Techniken eingesetzt haben, ist ihr Einsatz in realen Angriffen nach wie vor selten.
Potenzielle Auswirkungen und Fähigkeiten von Msupedge
Experten warnen, dass Msupedge von Angreifern für verschiedene schädliche Aktivitäten genutzt werden kann, darunter:
- Erstellung neuer Prozesse
- Herunterladen von Dateien
- Verwaltung temporärer Dateien
Diese Fähigkeiten geben Angreifern weitreichende Kontrolle über infizierte Systeme und ermöglichen potenziell den Diebstahl sensibler Daten oder die weitere Ausbreitung im Netzwerk.
Breitere Auswirkungen der CVE-2024-4577-Schwachstelle
Der Msupedge-Backdoor ist nicht der einzige Bedrohungsakteur, der die CVE-2024-4577-Schwachstelle ausnutzt. Im Juli 2024 berichtete Akamai von zahlreichen Angriffen, bei denen die Schwachstelle zur Verbreitung von Remote Access Trojans, Kryptomining-Malware und zur Durchführung von DDoS-Attacken genutzt wurde. Darüber hinaus nutzte die Ransomware-Gruppe TellYouThePass die Schwachstelle, um eine .NET-Variante ihres Verschlüsselungsprogramms zu verbreiten.
Die Entdeckung von Msupedge und die zunehmende Ausnutzung der PHP-Schwachstelle verdeutlichen die Dringlichkeit regelmäßiger Sicherheitsupdates und proaktiver Cybersicherheitsmaßnahmen. Organisationen, insbesondere im Bildungssektor, sollten ihre Systeme umgehend patchen, verdächtige DNS-Aktivitäten überwachen und umfassende Sicherheitsstrategien implementieren, um sich vor solch raffinierten Bedrohungen zu schützen.