Onbekende aanvallers hebben een nieuw ontdekte backdoor genaamd Msupedge ingezet op een universiteitssysteem met Windows in Taiwan, waarschijnlijk door misbruik te maken van een recentelijk gepatchte PHP-kwetsbaarheid voor remote code execution (CVE-2024-4577).

CVE-2024-4577 is een kritieke PHP-CGI argument injectie fout die in juni is gepatcht en impact heeft op PHP-installaties die draaien op Windows-systemen met PHP in CGI-modus. Het stelt niet-geauthenticeerde aanvallers in staat om willekeurige code uit te voeren en leidt tot een volledige systeemcompromis na succesvolle exploitatie.

De dreigingsactoren lieten de malware vallen als twee dynamische linkbibliotheken (weblog.dll en wmiclnt.dll), waarvan de eerste wordt geladen door het httpd.exe Apache-proces.

Het meest opmerkelijke kenmerk van Msupedge is het gebruik van DNS-verkeer om te communiceren met de command-and-control (C&C) server. Terwijl veel dreigingsgroepen deze techniek in het verleden hebben overgenomen, wordt het niet vaak waargenomen in het wild.

Het maakt gebruik van DNS-tunneling (een functie geïmplementeerd op basis van het open-source dnscat2 tool), waarmee gegevens kunnen worden ingekapseld binnen DNS-query’s en -antwoorden om opdrachten van de C&C-server te ontvangen.

De aanvallers kunnen Msupedge gebruiken om verschillende opdrachten uit te voeren, die worden getriggerd op basis van de derde octet van het opgeloste IP-adres van de C&C-server. De backdoor ondersteunt ook meerdere opdrachten, waaronder het aanmaken van processen, het downloaden van bestanden, en het beheren van tijdelijke bestanden.

Exploiteren van PHP RCE-kwetsbaarheid

Symantec’s Threat Hunter Team, dat het incident onderzocht en de nieuwe malware spotte, gelooft dat de aanvallers toegang kregen tot de gecompromitteerde systemen na het uitbuiten van de CVE-2024-4577 kwetsbaarheid.

Deze beveiligingsfout omzeilt bescherming geïmplementeerd door het PHP-team voor CVE-2012-1823, die jaren na de remediering werd uitgebuit in malware-aanvallen die Linux- en Windows-servers met RubyMiner malware viseerden.

“De initiële inbraak was waarschijnlijk door misbruik van een recentelijk gepatchte PHP-kwetsbaarheid (CVE-2024-4577),” zei het Threat Hunter Team van Symantec.

“Symantec heeft de afgelopen weken meerdere dreigingsactoren gezien die scannen naar kwetsbare systemen. Tot op heden hebben we geen bewijs gevonden dat ons in staat stelt deze dreiging toe te schrijven en het motief achter de aanval blijft onbekend.”

Op vrijdag, een dag nadat de PHP-onderhouders CVE-2024-4577 patches hebben uitgebracht, publiceerde WatchTowr Labs proof-of-concept (PoC) exploit code. Op dezelfde dag meldde de Shadowserver Foundation dat ze exploitatiepogingen hadden waargenomen op hun honeypots.

Een dag later, minder dan 48 uur na het uitbrengen van de patches, begon ook de TellYouThePass ransomware-groep de kwetsbaarheid te exploiteren om webshells te implementeren en systemen van slachtoffers te versleutelen.