Msupedge, attenzione alla nuova backdoor Windows distribuita sfruttando una vulnerabilità PHP

Msupedge, attenzione alla nuova backdoor Windows distribuita sfruttando una vulnerabilità PHP

La vulnerabilità è stata corretta nel corso del mese di giugno, ma nelle ultime settimane sono cresciute le scansioni alla ricerca di sistemi suscettibili alla falla

di pubblicata il , alle 15:31 nel canale Sicurezza
 

Un attacco informatico ha colpito un'università di Taiwan, portando alla scoperta di una nuova backdoor denominata Msupedge, che sta rapidamente attirando l'attenzione dei ricercatori di sicurezza: la backdoor infatti è stata distribuita sfruttando una vulnerabilità di esecuzione di codice da remoto, tracciata con il codice CVE-2024-4577, che interessa le installazioni PHP in modalità CGI su Windows.

La vulnerabilità, corretta nel corso del mese di giugno, è dal punto di vista tecnico una falla di argument injection PCP-CGI, che permette di aggirare le protezioni che sono state implementate in precedenza per correggere un'altra falla, CVE-2012-1823, usata in passato per diffondere malware su sistemi server Windows e Linux.

Nel caso specifico di Msupedge, gli attaccanti hanno distribuito il malware sotto forma di due librerie a collegamento dinamico, weblog.dll e wmiclnt.dll, con la prima caricata dal processo Apache httpd.exe.

Msupedge usa in maniera insolita, ed è questo l'elemento che ha incuriosito i ricercatori, il traffico DNS per comunicare con il server di comando e controllo (C&C). Sfruttare il tunneling DNS come canale di comunicazione è una tecnica non nuova, ma comunque utilizzata non così frequentemente. In questo modo è possibile incapsulare dati all'interno di query e risposte DNS, facilitando l'invio di comandi al malware da parte degli attaccanti.

Msupedge è capace di eseguire una varietà di comandi, che vanno dalla creazione di processi al download di file, passando per la gestione di file temporanei, con le istruzioni che vengono attivate in base al terzo ottetto dell'indirizzo IP risolto del server C&C

Secondo il Threat Hunter Team di Symantec l'accesso iniziale ai sistemi è stato possibile sfruttando la vulnerabilità CVE-2024-4577: i ricercatori hanno infatti osservato che nelle settimane precedenti all'attacco è aumentato in maniera significativa il numero di scansioni di sistemi suscettibili a questa falla che, come già indicato, è stata corretta circa due mesi fa. 

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^