قام مهاجمون مجهولون بنشر برنامج خلفي تم اكتشافه حديثًا يطلق عليه اسم Msupedge على أنظمة Windows الخاصة بإحدى الجامعات في تايوان، ومن المرجح عن طريق استغلال ثغرة تنفيذ التعليمات البرمجية عن بعد في PHP والتي تم تصحيحها مؤخرًا (CVE-2024-4577).
سي في إي-2024-4577 هو عيب خطير في حقن وسيطة PHP-CGIتم تصحيحه في يونيويؤثر هذا على تثبيتات PHP التي تعمل على أنظمة Windows مع تشغيل PHP في وضع CGI. فهو يسمح للمهاجمين غير المعتمدين بتنفيذ تعليمات برمجية عشوائية ويؤدي إلى اختراق النظام بالكامل بعد الاستغلال الناجح.
قام الجهات الفاعلة في التهديد بإسقاط البرامج الضارة في شكل مكتبتين للارتباط الديناميكي (weblog.dll وwmiclnt.dll)، حيث تم تحميل الأولى بواسطة عملية Apache httpd.exe.
الميزة الأكثر أهمية في Msupedge هي استخدام حركة مرور DNS للتواصل مع خادم الأوامر والتحكم (C&C). وفي حين تبنت العديد من مجموعات التهديد هذه التقنية في الماضي، إلا أنها لا تُلاحظ عادةً في البرية.
إنه يستفيد من أنفاق DNS (وهي ميزة تم تنفيذها استنادًا إلى المصدر المفتوح أداة dnscat2)، مما يسمح بتغليف البيانات داخل استعلامات DNS واستجاباتها لتلقي الأوامر من خادم C&C الخاص به.
يمكن للمهاجمين استخدام Msupedge لتنفيذ أوامر مختلفة، والتي يتم تشغيلها بناءً على الثماني بتات الثالثة من عنوان IP المحدد لخادم C&C. كما يدعم الباب الخلفي أوامر متعددة، بما في ذلك إنشاء العمليات وتنزيل الملفات وإدارة الملفات المؤقتة.
استغلال ثغرة PHP RCE
ويعتقد فريق Threat Hunter التابع لشركة Symantec، الذي حقق في الحادث واكتشف البرنامج الخبيث الجديد، أن المهاجمين تمكنوا من الوصول إلى الأنظمة المخترقة بعد استغلال الثغرة الأمنية CVE-2024-4577.
يتجاوز هذا الخلل الأمني الحماية التي ينفذها فريق PHP لـ سي في إي-2012-1823، الذي كان تم استغلالها في هجمات البرامج الضارة بعد سنوات من إصلاحه لاستهداف خوادم Linux وWindows باستخدام برنامج RubyMiner الخبيث.
“من المرجح أن يكون الاختراق الأولي من خلال استغلال ثغرة PHP التي تم تصحيحها مؤخرًا (CVE-2024-4577)” قال فريق Threat Hunter التابع لشركة Symantec.
“لقد لاحظت شركة سيمانتك العديد من الجهات الفاعلة التي تقوم بالتهديدات بحثًا عن الأنظمة المعرضة للخطر في الأسابيع الأخيرة. وحتى الآن، لم نجد أي دليل يسمح لنا بنسب هذا التهديد ولا يزال الدافع وراء الهجوم غير معروف.”
في يوم الجمعة، بعد يوم واحد من إصدار صيّاني PHP لتصحيحات CVE-2024-4577، أصدرت WatchTowr Labs دليلاً على المفهوم (PoC) استغلال الكودوفي اليوم نفسه، أعلنت مؤسسة Shadowserver مراقبة محاولات الاستغلال على أوعية العسل الخاصة بهم.
بعد يوم واحد، بعد أقل من 48 ساعة من إصدار التصحيحات، قامت عصابة برامج الفدية TellYouThePass أيضًا بدأ استغلال الثغرة الأمنية لنشر قذائف الويب وتشفير أنظمة الضحايا.