PHPの脆弱性(CVE-2024-4577)を悪用してハッカーがバックドアを仕掛ける

セキュリティニュース

投稿日時: 更新日時:

PHPの脆弱性(CVE-2024-4577)を悪用してハッカーがバックドアを仕掛ける

2024年8月20日 シマンテックが脅威アクターが台湾の大学をサイバー攻撃を実施する際に、PHPの脆弱性(CVE-2024-4577)を悪用して新しいバックドア Msupedgeを確認したと発表しました。

脆弱性:CVE-2024-4577の概要

CVE-2024-4577は2024年6月に修正されたPHPの脆弱性で、Windows OSにインストールされているすべてのバージョンの PHP に影響を及ぼす CGI 引数インジェクションの脆弱性とされます。

DEVCOREによると、この脆弱性 CVE-2024-4577により、別のセキュリティ上の欠陥CVE-2012-1823に対して導入された保護措置を回避できるようになるとのことです。

DEVCORE は、繁体字中国語、簡体字中国語、または日本語のロケールを使用するように構成されている場合、

バックドア Msupedgeの特徴

バックドア Msupedgeの特徴は、DNS トラフィックを介してC&C サーバーと通信することです。

この手法は既知であり、複数の脅威アクターによって使用されていますが、それでもあまり見られません。 

Msupedge分析

Msupedge は、DLL 形式のバックドアで、以下のファイル パスにインストールされていることが確認されています。

  • csidl_drive_fixed\xampp\wuplog.dll
  • csidl_system\wbem\wmiclnt.dll

wuplog.dll は Apache (httpd.exe) によってロードされますが、今の所wmiclnt.dll の親プロセスは不明です。

Msupedge は、C&C サーバーとの通信に DNS トンネリングを使用します。DNS トンネリング ツールのコードは、公開されている dnscat2ツールに基づいており、攻撃者は バックドア Msupedge を使用して、C&C サーバーの解決された IP アドレスの 3 番目のオクテットに基づいてトリガーされるさまざまなコマンドを実行できます。

さらに、バックドアは、プロセスの作成、ファイルのダウンロード、一時ファイルの管理など、複数のコマンドもサポートしています。

なお、上記ファイルはSymantec Endpoint 製品で検出・防御可能とのこと

引用

New Backdoor Targeting Taiwan Employs Stealthy Communications

関連記事

2024年6月11日 海外のセキュリティコンサルティング企業「Imperva 」が、ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性(CVE-2024-4577)を悪用し、ランサムウェア攻撃を行っている事を指摘しました。