Un backdoor nou descoperit, denumit Msupedge, a fost folosit într-un atac cibernetic care a vizat o universitate neidentificată din Taiwan. Acest backdoor comunică cu un server de comandă și control (C&C) prin trafic DNS. Este suspectat că vulnerabilitatea critică recent dezvăluită în PHP (CVE-2024-4577, CVSS scor: 9.8) a facilitat implementarea acestui backdoor.
TL;DR
- Hackeri au utilizat o vulnerabilitate PHP pentru a implementa backdoor-ul Msupedge
- Msupedge comunică prin trafic DNS cu serverul C&C
- Vulnerabilitatea PHP poate permite execuția de cod la distanță
- Universitatea vizată este în Taiwan
- Backdoor-ul poate executa diverse comenzi primite prin DNS
Vulnerabilitatea și modalitatea de acces inițial
Conform unui raport de la echipa Symantec Threat Hunter, se suspectează că accesul inițial care a facilitat implementarea lui Msupedge a fost realizat prin exploatarea unei vulnerabilități critice recent dezvăluite în PHP (CVE-2024-4577), care are un scor CVSS de 9.8. Această vulnerabilitate poate permite execuția de cod la distanță (Remote Code Execution).
Caracteristicile backdoor-ului Msupedge
Msupedge este un DLL (Dynamic-Link Library) care este instalat în căile „csidl_drive_fixed\xampp\” și „csidl_system\wbem\”. Unul dintre DLL-uri, wuplog.dll, este lansat de serverul Apache HTTP (httpd). Procesul părinte pentru al doilea DLL nu este clar identificat. Cea mai notabilă caracteristică a lui Msupedge este utilizarea tunelării DNS pentru a comunica cu serverul C&C, folosind cod bazat pe instrumentul open-source dnscat2.
Comunicații și comenzi DNS
Conform informațiilor furnizate de echipa Symantec, backdoor-ul primește comenzi realizând rezolvarea numelor DNS. Nu doar că primește comenzi prin trafic DNS, dar folosește și adresa IP rezolvată a serverului C&C (ctl.msedeapi[.]net) ca o comandă. Specific, cel de-al treilea octet al adresei IP rezolvate funcționează ca un switch case, determinând comportamentul backdoor-ului prin scăderea a 7 din acesta și folosindu-se notația hexadecimală pentru a declanșa răspunsuri adecvate.
Concluzii
Acest incident subliniază necesitatea de a rămâne vigilenți și de a avea măsuri de securitate informatice adecvate pentru a detecta și a preveni atacurile cibernetice. Actualizarea constantă a aplicațiilor și sistemelor la ultimele versiuni poate ajuta la prevenirea exploatării vulnerabilităților cunoscute de către actori rău intenționați.
Sursa articolului:
https://thehackernews.com/2024/08/hackers-exploit-php-vulnerability-to.html
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
