(https://i.postimg.cc/0yJGDKfv/Malware-spyware.png) (https://postimages.org/)
Atacantes desconocidos han desplegado una puerta trasera recién descubierta denominada Msupedge en los sistemas Windows de una universidad en Taiwán, probablemente explotando una vulnerabilidad de ejecución remota de código PHP recientemente parcheada (CVE-2024-4577).
CVE-2024-4577 es una falla crítica de inyección de argumentos PHP-CGI parcheada en junio que afecta a las instalaciones PHP que se ejecutan en sistemas Windows con PHP ejecutándose en modo CGI. Permite a atacantes no autenticados ejecutar código arbitrario y conduce a un compromiso completo del sistema después de una explotación exitosa.
Los actores de amenazas lanzaron el malware como dos bibliotecas de vínculos dinámicos (weblog.dll y wmiclnt.dll), la primera cargada por el proceso Apache httpd.exe.
La característica más notable de Msupedge es el uso de tráfico DNS para comunicarse con el servidor de comando y control (C&C). Si bien muchos grupos de amenazas han adoptado esta técnica en el pasado, no se observa comúnmente en la naturaleza.
Aprovecha la tunelización DNS (una característica implementada en base a la herramienta de código abierto dnscat2), que permite encapsular datos dentro de consultas y respuestas DNS para recibir comandos de su servidor C&C.
Los atacantes pueden usar Msupedge para ejecutar varios comandos, que se activan en función del tercer octeto de la dirección IP resuelta del servidor C&C. La puerta trasera también admite varios comandos, incluidos la creación de procesos, la descarga de archivos y la gestión de archivos temporales.
Explotación de la vulnerabilidad PHP RCE
El equipo Threat Hunter de Symantec, que investigó el incidente y detectó el nuevo malware, cree que los atacantes obtuvieron acceso a los sistemas comprometidos después de explotar la vulnerabilidad CVE-2024-4577.
Esta falla de seguridad elude las protecciones implementadas por el equipo PHP para CVE-2012-1823, que fue explotada en ataques de malware años después de su reparación para atacar servidores Linux y Windows con malware RubyMiner.
"La intrusión inicial probablemente se produjo a través de la explotación de una vulnerabilidad PHP recientemente parcheada (CVE-2024-4577)", dijo el equipo Threat Hunter de Symantec.
"Symantec ha visto a múltiples actores de amenazas escanear sistemas vulnerables en las últimas semanas. Hasta la fecha, no hemos encontrado evidencia que nos permita atribuir esta amenaza y el motivo detrás del ataque sigue siendo desconocido".
El viernes, un día después de que los encargados del mantenimiento de PHP lanzaran los parches CVE-2024-4577, WatchTowr Labs publicó un código de explotación de prueba de concepto (PoC). El mismo día, la Shadowserver Foundation informó haber observado intentos de explotación en sus honeypots.
Un día después, menos de 48 horas después de que se lanzaran los parches, la banda de ransomware TellYouThePass también comenzó a explotar la vulnerabilidad para implementar webshells y cifrar los sistemas de las víctimas.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/hackers-use-php-exploit-to-backdoor-windows-systems-with-new-malware/