
2024年8月20日 シマンテックが脅威アクターが台湾の大学をサイバー攻撃を実施する際に、PHPの脆弱性(CVE-2024-4577)を悪用して新しいバックドア Msupedgeを確認したと発表しました。
脆弱性:CVE-2024-4577の概要
CVE-2024-4577は2024年6月に修正されたPHPの脆弱性で、Windows OSにインストールされているすべてのバージョンの PHP に影響を及ぼす CGI 引数インジェクションの脆弱性とされます。
DEVCOREによると、この脆弱性 CVE-2024-4577により、別のセキュリティ上の欠陥CVE-2012-1823に対して導入された保護措置を回避できるようになるとのことです。
DEVCORE は、繁体字中国語、簡体字中国語、または日本語のロケールを使用するように構成されている場合、
Windows 上のすべての XAMPP インストールがデフォルトで脆弱であると警告しています。
バックドア Msupedgeの特徴
バックドア Msupedgeの特徴は、DNS トラフィックを介してC&C サーバーと通信することです。
この手法は既知であり、複数の脅威アクターによって使用されていますが、それでもあまり見られません。
Msupedge分析
Msupedge は、DLL 形式のバックドアで、以下のファイル パスにインストールされていることが確認されています。
- csidl_drive_fixed\xampp\wuplog.dll
- csidl_system\wbem\wmiclnt.dll
wuplog.dll は Apache (httpd.exe) によってロードされますが、今の所wmiclnt.dll の親プロセスは不明です。
Msupedge は、C&C サーバーとの通信に DNS トンネリングを使用します。DNS トンネリング ツールのコードは、公開されている dnscat2ツールに基づいており、攻撃者は バックドア Msupedge を使用して、C&C サーバーの解決された IP アドレスの 3 番目のオクテットに基づいてトリガーされるさまざまなコマンドを実行できます。
さらに、バックドアは、プロセスの作成、ファイルのダウンロード、一時ファイルの管理など、複数のコマンドもサポートしています。
なお、上記ファイルはSymantec Endpoint 製品で検出・防御可能とのこと
引用
New Backdoor Targeting Taiwan Employs Stealthy Communications
関連記事
2024年6月11日 海外のセキュリティコンサルティング企業「Imperva 」が、ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性(CVE-2024-4577)を悪用し、ランサムウェア攻撃を行っている事を指摘しました。