حملهکنندگان ناشناس یک backdoor جدید به نام Msupedge را روی سیستمهای ویندوزی یک دانشگاه در تایوان مستقر کردهاند. احتمالاً این کار را از طریق سوءاستفاده از یک آسیبپذیری اجرای کد از راه دور (remote code execution) در PHP که اخیراً patch شده است، انجام دادهاند.
CVE-2024-4577 یک نقص امنیتی بحرانی از نوع تزریق آرگومان در PHP-CGI است که در ماه ژوئن رفع patch شده و تأثیر آن بر نصبهای PHP است که روی سیستمهای ویندوزی و با حالت CGI اجرا میشوند. این نقص به مهاجمان غیرمعتبر اجازه میدهد کد دلخواه را اجرا کنند و پس از بهرهبرداری موفقیتآمیز، منجر به به خطر افتادن کامل سیستم میشود.
مهاجمان بدافزار را به صورت دو کتابخانه پویا (DLL) با نامهای weblog.dll و wmiclnt.dll قرار دادهاند. کتابخانه اول (weblog.dll) توسط فرآیند httpd.exe ( مربوط به سرور Apache ) بارگذاری شده است.
قابل توجهترین ویژگی Msupedge، استفاده از ترافیک DNS برای ارتباط با سرور فرماندهی و کنترل (C&C) است. اگرچه بسیاری از گروههای تهدید در گذشته از این تکنیک استفاده کردهاند، اما این روش به طور معمول در محیط واقعی مشاهده نمیشود.
این بدافزار از DNS tunneling ( یک ویژگی که بر اساس ابزار متنباز dnscat2 پیادهسازی شده ) این استفاده میکند. این روش اجازه میدهد تا دادهها درون درخواستها و پاسخهای DNS کپسوله شوند و به این ترتیب، دستورات از سرور فرماندهی و کنترل (C&C) دریافت شوند.
مهاجمان میتوانند از Msupedge برای اجرای دستورات مختلف استفاده کنند. این دستورات بر اساس سومین بخش از آدرس IP سرور فرماندهی و کنترل (C&C) که حل (resolve) شده، فعال میشوند. این درب پشتی همچنین از چندین دستور پشتیبانی میکند، از جمله ایجاد فرآیندها، دانلود فایلها و مدیریت فایلهای موقت.
بهرهبرداری از آسیبپذیری RCE در PHP
تیم شکارچی تهدید شرکت Symantec، که این حادثه را بررسی کرده و بدافزار جدید را شناسایی کرده است، معتقد است که مهاجمان پس از سوءاستفاده از آسیبپذیری CVE-2024-4577 به سیستمهای به خطر افتاده دسترسی پیدا کردهاند.
این نقص امنیتی از محافظتهایی که تیم PHP برای آسیبپذیری CVE-2012-1823 پیادهسازی کرده بود، عبور میکند. این آسیبپذیری (CVE-2012-1823) سالها پس از رفع آن، در حملات بدافزار مورد سوءاستفاده قرار گرفت و سرورهای لینوکس و ویندوز را با بدافزار RubyMiner هدف قرار داد.
تیم شکارچی تهدید شرکت Symantec گفت: «دستبرد اولیه به احتمال زیاد از طریق سوءاستفاده از یک آسیبپذیری PHP که اخیراً وصله شده (CVE-2024-4577) صورت گرفته است.
Symantec در هفتههای اخیر مشاهده کرده است که چندین گروه تهدید در حال اسکن سیستمهای آسیبپذیر بودهاند. تا به امروز، ما هیچ مدرکی پیدا نکردهایم که بتوانیم این تهدید را به یک گروه خاص نسبت دهیم و انگیزه پشت این حمله همچنان ناشناخته باقی مانده است.
در روز جمعه، یک روز پس از آنکه نگهدارندگان PHP وصلههای مربوط به آسیبپذیری CVE-2024-4577 را منتشر کردند، آزمایشگاههای WatchTowr کد اثبات مفهوم (PoC) برای سوءاستفاده از این آسیبپذیری را منتشر کردند. همان روز، بنیاد Shadowserver گزارش داد که تلاشهای سوءاستفاده را در شبکههای تله (honeypots) خود مشاهده کرده است.
یک روز بعد، کمتر از ۴۸ ساعت پس از انتشار وصلهها، گروه باجافزاری TellYouThePass نیز شروع به سوءاستفاده از آسیبپذیری کرد تا وبشلها را مستقر کرده و سیستمهای قربانیان را رمزگذاری کند.
