Специалисты по кибербезопасности обнаружили новый опасный бэкдор под названием Msupedge, который атаковал системы Windows в одном из университетов Тайваня. Злоумышленники использовали недавно обнаруженную уязвимость удаленного выполнения кода (RCE) в PHP с идентификатором CVE-2024-4577 для проникновения в компьютерные сети образовательного учреждения.
Анализ уязвимости CVE-2024-4577
Уязвимость CVE-2024-4577 была раскрыта в начале июня 2024 года и получила критическую оценку 9,8 баллов по шкале CVSS. Эта брешь в безопасности PHP-CGI позволяет злоумышленникам удаленно выполнять вредоносные команды на системах Windows. Особую опасность уязвимость представляет для систем с определенными локализациями, включая традиционный китайский, упрощенный китайский и японский языки.
Механизм распространения Msupedge
Согласно отчету Symantec Threat Hunter Team, бэкдор Msupedge распространяется с помощью двух библиотек DLL:
- weblog.dll — загружается процессом httpd.exe Apache
- wmiclnt.dll — родительский процесс не установлен
Эксперты отмечают, что использование двух отдельных библиотек может быть попыткой злоумышленников усложнить обнаружение вредоносного ПО системами безопасности.
Уникальные особенности Msupedge
Ключевой особенностью Msupedge является использование DNS-туннелирования для коммуникации с командным сервером. Эта техника, реализованная на базе открытого инструмента dnscat2, позволяет хакерам:
- Инкапсулировать данные в DNS-запросы и ответы
- Получать команды от управляющего сервера, обходя традиционные средства защиты
- Выполнять различные вредоносные действия на основе IP-адреса командного сервера
Хотя DNS-туннелирование известно специалистам по безопасности, его применение в реальных атаках встречается довольно редко, что делает Msupedge особенно опасным вредоносным ПО.
Возможности и угрозы Msupedge
Анализ функционала Msupedge показал, что бэкдор способен выполнять широкий спектр вредоносных действий, включая:
- Создание новых процессов в системе
- Загрузку дополнительных вредоносных файлов
- Управление временными файлами
- Сбор конфиденциальной информации
Эти возможности позволяют злоумышленникам получить полный контроль над зараженной системой и использовать ее для дальнейшего распространения атаки внутри сети организации.
Рост атак с использованием уязвимости CVE-2024-4577
Msupedge — не единственная угроза, эксплуатирующая уязвимость CVE-2024-4577. По данным экспертов Akamai, в июле 2024 года наблюдался значительный рост атак с использованием этой бреши для распространения:
- Троянов удаленного доступа (RAT)
- Криптовалютных майнеров
- Инструментов для организации DDoS-атак
Кроме того, аналитики Imperva сообщили об использовании уязвимости группировкой TellYouThePass для распространения .NET-варианта своего программы-вымогателя.
Учитывая растущую угрозу, связанную с эксплуатацией уязвимости CVE-2024-4577, критически важно для организаций, особенно в сфере образования, немедленно обновить свои PHP-системы и усилить мониторинг сетевой активности. Регулярные проверки на наличие подозрительных DNS-запросов и неавторизованных процессов могут помочь выявить потенциальные заражения Msupedge и другими подобными угрозами. Комплексный подход к кибербезопасности, включающий обучение персонала, сегментацию сети и использование современных средств защиты, остается ключевым фактором в противодействии постоянно эволюционирующим киберугрозам.
