Exploração da falha crítica no PHP leva à implantação de backdoor

Um backdoor recentemente descoberto, chamado Msupedge, foi utilizado em um ataque cibernético direcionado a uma universidade em Taiwan. De acordo com o Symantec Threat Hunter Team, uma divisão da Broadcom, o principal diferencial desse backdoor é sua comunicação com um servidor de comando e controle (C&C) por meio de tráfego DNS. A origem do Msupedge permanece desconhecida, assim como os objetivos por trás do ataque.

Acredita-se que o vetor inicial de acesso, que facilitou a implantação do Msupedge, envolva a exploração de uma falha crítica recentemente divulgada no PHP (CVE-2024-4577, com pontuação CVSS: 9.8). Essa vulnerabilidade permite a execução remota de código, o que torna o sistema altamente suscetível a ataques.

 

 

O backdoor é implementado como uma biblioteca de vínculo dinâmico (DLL), instalada nos diretórios “csidl_drive_fixed\xampp” e “csidl_system\wbem“. Uma das DLLs, wuplog.dll, é executada pelo servidor Apache HTTP (httpd). No entanto, o processo pai da segunda DLL ainda não foi identificado.

O aspecto mais notável do Msupedge é o uso de tunelamento DNS para comunicação com o servidor C&C, com código baseado na ferramenta open-source dnscat2. A Symantec observou que “Msupedge não apenas recebe comandos via tráfego DNS, mas também utiliza o endereço IP resolvido do servidor C&C (ctl.msedeapi[.]net) como um comando”. Especificamente, o terceiro octeto do endereço IP resolvido funciona como um case switch, que determina o comportamento do backdoor, subtraindo sete do valor e utilizando sua notação hexadecimal para acionar respostas apropriadas.

Por exemplo, se o terceiro octeto for 145, o valor derivado será 138 (0x8a). Os comandos suportados pelo Msupedge incluem:

0x8a: Criar um processo usando um comando recebido via um registro TXT DNS.

0x75: Baixar um arquivo usando uma URL de download recebida via um registro TXT DNS.

0x24: Entrar em modo de espera por um intervalo de tempo predeterminado.

0x66: Entrar em modo de espera por um intervalo de tempo predeterminado.

0x38: Criar um arquivo temporário “%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”, cuja finalidade é desconhecida.

0x3c: Excluir o arquivo “%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”.

Esse desenvolvimento ocorre enquanto o grupo de ameaça UTG-Q-010 é vinculado a uma nova campanha de phishing que usa iscas relacionadas a criptomoedas e vagas de emprego para distribuir um malware open-source chamado Pupy RAT. A Symantec explicou que “a cadeia de ataque envolve o uso de arquivos maliciosos .lnk com um carregador DLL embutido, resultando na implantação do payload do Pupy RAT.” O Pupy é um Trojan de Acesso Remoto (RAT) baseado em Python, com funcionalidades como carregamento reflexivo de DLL e execução em memória, entre outras.

Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que transforma riscos cibernéticos em respostas confiáveis. Agende uma demo aqui

Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.

Compartilhe a postagem:

Posts relacionados

Assine nossa newsletter