Експерти з кібербезпеки виявили новий небезпечний бекдор під назвою Msupedge, який був розгорнутий у системах Windows одного з університетів Тайваню. Ця знахідка підкреслює зростаючу загрозу для освітніх закладів та необхідність посилення заходів кіберзахисту.
Механізм атаки та вразливість CVE-2024-4577
За попередніми даними, для проникнення в системи університету зловмисники використали нещодавно виявлену вразливість віддаленого виконання коду (RCE) в PHP, відому як CVE-2024-4577. Ця критична уразливість, оцінена в 9,8 балів за шкалою CVSS, дозволяє хакерам віддалено виконувати шкідливі команди на вразливих Windows-системах.
Особливу небезпеку CVE-2024-4577 становить для систем з певними локалізаціями, включаючи традиційну китайську, спрощену китайську та японську мови. Це робить освітні та наукові установи в азіатському регіоні особливо вразливими до таких атак.
Технічні особливості бекдора Msupedge
За даними дослідників з Symantec Threat Hunter Team, бекдор Msupedge розповсюджувався за допомогою двох бібліотек: weblog.dll та wmiclnt.dll. Перша завантажувалася процесом httpd.exe Apache, тоді як батьківський процес для другої DLL залишився невстановленим.
Ключовою особливістю Msupedge є використання DNS-трафіку для комунікації з командним сервером. Ця техніка, відома як DNS-тунелювання, дозволяє зловмисникам приховувати шкідливий трафік всередині легітимних DNS-запитів, ускладнюючи його виявлення стандартними засобами захисту.
Функціональність та потенційні загрози
Msupedge надає хакерам широкі можливості для віддаленого контролю над зараженими системами, включаючи:
- Створення нових процесів
- Завантаження додаткових шкідливих файлів
- Управління тимчасовими файлами
- Виконання довільних команд на основі відповідей від командного сервера
Хоча техніка DNS-тунелювання не нова, її використання в реальних атаках залишається відносно рідкісним явищем, що підкреслює високий рівень технічної підготовки зловмисників.
Ширший контекст загрози CVE-2024-4577
Варто зазначити, що вразливість CVE-2024-4577 активно експлуатується різними хакерськими групами. За даними компанії Akamai, ця уразливість використовується для розповсюдження троянів віддаленого доступу, криптомайнерів та організації DDoS-атак.
Крім того, аналітики Imperva повідомили про використання цієї вразливості групою вимагачів TellYouThePass для поширення .NET-версії свого шифрувальника.
Виявлення Msupedge підкреслює необхідність постійної пильності та оперативного оновлення систем безпеки, особливо в освітньому секторі. Організаціям рекомендується негайно застосувати патчі для CVE-2024-4577, посилити моніторинг мережевого трафіку на предмет аномалій DNS та впровадити багаторівневі системи захисту для протидії сучасним кіберзагрозам.
