黑客利用 PHP 漏洞利用新恶意软件对 Windows 系统进行后门攻击

2024年9月9日11:17:34评论30 views字数 1010阅读3分22秒阅读模式

未知攻击者在台湾一所大学的 Windows 系统上部署了一个名为 Msupedge 的新发现后门，可能是利用最近修补的 PHP 远程代码执行漏洞 (CVE-2024-4577)。

CVE-2024-4577是一个严重的 PHP-CGI 参数注入漏洞，已于 6 月修复，影响在 Windows 系统上运行的 PHP 安装，且 PHP 以 CGI 模式运行。它允许未经身份验证的攻击者执行任意代码，并在成功利用后导致整个系统被入侵。

威胁行为者将恶意软件作为两个动态链接库（weblog.dll 和 wmiclnt.dll）投放，前者由 httpd.exe Apache 进程加载。

Msupedge 最值得注意的功能是使用 DNS 流量与命令和控制 (C&C) 服务器进行通信。虽然过去许多威胁组织都采用过这种技术，但在野外并不常见。

它利用 DNS 隧道（基于开源dnscat2 工具实现的功能），允许将数据封装在 DNS 查询和响应中，以接收来自其 C＆C 服务器的命令。

攻击者可以使用 Msupedge 执行各种命令，这些命令根据 C&C 服务器解析后的 IP 地址的第三个八位字节触发。该后门还支持多种命令，包括创建进程、下载文件和管理临时文件。

PHP RCE 漏洞利用

赛门铁克威胁猎人团队对该事件进行了调查并发现了新的恶意软件，他们认为攻击者在利用 CVE-2024-4577 漏洞后获得了受感染系统的访问权限。

该安全漏洞绕过了 PHP 团队针对CVE-2012-1823实施的保护措施，该漏洞在修复数年后仍被恶意软件利用，使用 RubyMiner 恶意软件针对 Linux 和 Windows 服务器进行攻击。

赛门铁克威胁猎人团队表示：“最初的入侵可能是通过利用最近修补的 PHP 漏洞 (CVE-2024-4577) 进行的。”

赛门铁克最近几周发现多个威胁行为者正在扫描易受攻击的系统。到目前为止，我们还没有发现任何证据可以让我们确定这一威胁的来源，攻击背后的动机仍然未知。

在 PHP 维护人员发布 CVE-2024-4577 补丁的第二天，WatchTowr Labs 发布了概念验证 (PoC)漏洞代码。同一天，Shadowserver 基金会报告称，在其蜜罐上观察到了漏洞利用尝试。

补丁发布后不到 48 小时，TellYouThePass 勒索软件团伙也开始利用该漏洞部署 webshell 并加密受害者的系统。

信息来源：BleepingComputer

原文始发于微信公众号（犀牛安全）：黑客利用 PHP 漏洞利用新恶意软件对 Windows 系统进行后门攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

Oracle 2025年4月补丁日多个安全漏洞