Hacker

未知の攻撃者が、最近パッチが適用された PHP のリモート・コード実行の脆弱性(CVE-2024-4577)を悪用し、台湾の大学の Windows システムに新たに発見されたバックドア(Msupedge)を展開した模様です。

CVE-2024-4577は6月にパッチが適用されたPHP-CGI引数インジェクションの重大な欠陥で、Windowsシステム上でPHPがCGIモードで実行されている場合に影響を及ぼします。この欠陥により、認証されていない攻撃者が任意のコードを実行することが可能となり、悪用に成功するとシステムが完全に侵害されることになります。

脅威の主体は、マルウェアを2つのダイナミックリンクライブラリ(weblog.dllとwmiclnt.dll)としてドロップし、前者はhttpd.exe Apacheプロセスによってロードされます。

Msupedgeの最も注目すべき特徴は、コマンド・アンド・コントロール(C&C)サーバーとの通信にDNSトラフィックを使用していることです。過去に多くの脅威グループがこの手法を採用してきましたが、野生ではあまり観察されていません。

DNSトンネリング(オープンソースのdnscat2ツールに基づいて実装された機能)を活用し、DNSクエリやレスポンス内でデータをカプセル化することで、C&Cサーバーからのコマンドを受信します。

攻撃者はMsupedgeを使用して、C&Cサーバーの解決されたIPアドレスの第3オクテットに基づいてトリガーされる様々なコマンドを実行することができる。このバックドアはまた、プロセスの作成、ファイルのダウンロード、一時ファイルの管理など、複数のコマンドをサポートしています。

PHP RCE の欠陥の悪用

この事件を調査し、新しいマルウェアを発見したシマンテックのスレットハンターチームは、攻撃者が CVE-2024-4577 の脆弱性を悪用して侵害されたシステムにアクセスしたと考えています。

このセキュリティ上の欠陥は、PHP チームがCVE-2012-1823 に対して実装した防御をバイパスするもので、この脆弱性は修正後数年経ってからRubyMiner マルウェアで Linux や Windows サーバを狙うマルウェア攻撃に悪用されました。

「最初の侵入は、最近パッチが適用されたPHPの脆弱性(CVE-2024-4577)を悪用したものであった可能性が高い

「シマンテックは、ここ数週間で複数の脅威者が脆弱性のあるシステムをスキャンしているのを確認しています。現在までのところ、この脅威を特定できる証拠は見つかっておらず、攻撃の動機は不明のままです。

PHPのメンテナがCVE-2024-4577のパッチをリリースした翌日の金曜日に、WatchTowr Labsは概念実証(PoC)のエクスプロイトコードをリリースした。同日、Shadowserver Foundationは、彼らのハニーポットで悪用の試みが観察されたことを報告した。

その1日後、パッチがリリースされてから48時間も経たないうちに、TellYouThePassランサムウェアのギャングもこの脆弱性を悪用してウェブシェルを展開し、被害者のシステムを暗号化し始めた