Penyerang tak dikenal telah menyebarkan pintu belakang yang baru ditemukan yang dijuluki Msupedge pada sistem Windows milik sebuah universitas di Taiwan, kemungkinan dengan mengeksploitasi kerentanan eksekusi kode jarak jauh PHP yang baru saja ditambal (CVE-2024-4577).
CVE-2024-4577 adalah kelemahan kritis injeksi argumen PHP-CGI ditambal pada bulan Juni yang memengaruhi instalasi PHP yang berjalan pada sistem Windows dengan PHP yang berjalan dalam mode CGI. Hal ini memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode sembarangan dan menyebabkan kompromi sistem secara menyeluruh setelah eksploitasi berhasil.
Pelaku ancaman menyebarkan malware sebagai dua pustaka tautan dinamis (weblog.dll dan wmiclnt.dll), yang pertama dimuat oleh proses Apache httpd.exe.
Fitur Msupedge yang paling menonjol adalah penggunaan lalu lintas DNS untuk berkomunikasi dengan server command-and-control (C&C). Meskipun banyak kelompok ancaman telah mengadopsi teknik ini di masa lalu, teknik ini tidak umum digunakan di alam liar.
Ini memanfaatkan tunneling DNS (fitur yang diimplementasikan berdasarkan sumber terbuka alat dnscat2), yang memungkinkan data dienkapsulasi dalam kueri dan respons DNS untuk menerima perintah dari server C&C.
Para penyerang dapat menggunakan Msupedge untuk menjalankan berbagai perintah, yang dipicu berdasarkan oktet ketiga dari alamat IP yang telah diselesaikan dari server C&C. Backdoor tersebut juga mendukung berbagai perintah, termasuk membuat proses, mengunduh file, dan mengelola file sementara.
Eksploitasi kelemahan PHP RCE
Tim Threat Hunter Symantec, yang menyelidiki insiden tersebut dan menemukan malware baru, meyakini penyerang memperoleh akses ke sistem yang disusupi setelah mengeksploitasi kerentanan CVE-2024-4577.
Kelemahan keamanan ini melewati perlindungan yang diterapkan oleh tim PHP untuk CVE-2012-1823yang mana dieksploitasi dalam serangan malware tahun setelah perbaikannya untuk menargetkan server Linux dan Windows dengan malware RubyMiner.
“Penyerobotan awal kemungkinan besar terjadi melalui eksploitasi kerentanan PHP yang baru saja ditambal (CVE-2024-4577),” dikatakan Tim Pemburu Ancaman Symantec.
“Symantec telah melihat banyak pelaku ancaman memindai sistem yang rentan dalam beberapa minggu terakhir. Hingga saat ini, kami belum menemukan bukti yang memungkinkan kami untuk mengaitkan ancaman ini dan motif di balik serangan tersebut masih belum diketahui.”
Pada hari Jumat, sehari setelah pengelola PHP merilis patch CVE-2024-4577, WatchTowr Labs merilis bukti konsep (PoC) mengeksploitasi kodePada hari yang sama, Shadowserver Foundation melaporkan mengamati upaya eksploitasi di honeypot mereka.
Sehari kemudian, kurang dari 48 jam setelah patch dirilis, kelompok ransomware TellYouThePass juga mulai mengeksploitasi kerentanan untuk menyebarkan webshell dan mengenkripsi sistem korban.
