Уязвимость в PHP используется для доставки бэкдора Msupedge - «Новости» » Интернет технологии
sitename
МВД России арестовало хак-группу, стоящую за разработкой стилера Meduza - «Новости»
МВД России арестовало хак-группу, стоящую за разработкой стилера Meduza - «Новости»
 Уязвимость Brash выводит из строя Chromium-браузеры - «Новости»
Уязвимость Brash выводит из строя Chromium-браузеры - «Новости»
 MEGANews. Cамые важные события в мире инфосека за октябрь - «Новости»
MEGANews. Cамые важные события в мире инфосека за октябрь - «Новости»
 Атака TEE.fail обходит защиту конфиденциальных вычислений на процессорах Intel и AMD - «Новости»
Атака TEE.fail обходит защиту конфиденциальных вычислений на процессорах Intel и AMD - «Новости»
 Новая версия Android-трояна DeliveryRAT может использоваться для DDoS-атак - «Новости»
Новая версия Android-трояна DeliveryRAT может использоваться для DDoS-атак - «Новости»
 Специалисты iFixit обнаружили «парадокс ремонта» при разборке iPad Pro с чипом M5 - «Новости сети»
Специалисты iFixit обнаружили «парадокс ремонта» при разборке iPad Pro с чипом M5 - «Новости сети»
 Google выяснила, что Android эффективнее iOS блокирует спам и мошеннические SMS - «Новости сети»
Google выяснила, что Android эффективнее iOS блокирует спам и мошеннические SMS - «Новости сети»
 Спасибо, Epic Games: Google разрешила разработчикам обходить комиссию «Play Маркета» - «Новости сети»
Спасибо, Epic Games: Google разрешила разработчикам обходить комиссию «Play Маркета» - «Новости сети»
 Платный эвакуационный шутер ARC Raiders за несколько часов после релиза собрал более 175 тыс. игроков в Steam - «Новости сети»
Платный эвакуационный шутер ARC Raiders за несколько часов после релиза собрал более 175 тыс. игроков в Steam - «Новости сети»
 Telegram начал предлагать россиянам отправлять SMS незнакомым людям в обмен на Premium - «Новости сети»
Telegram начал предлагать россиянам отправлять SMS незнакомым людям в обмен на Premium - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Уязвимость в PHP используется для доставки бэкдора Msupedge - «Новости»

✔Уязвимость в PHP используется для доставки бэкдора Msupedge - «Новости»

24 августа 2024 500 Новости / Преимущества стилей / Изображения / Текст / Отступы и поля 0

ИБ-специалисты обнаружили, что неизвестные злоумышленники развернули в Windows-системах одного из университетов Тайваня ранее неизвестный бэкдор под названием Msupedge. Для атаки на образовательное учреждение, судя по всему, использовалась недавно исправленная RCE-уязвимость в PHP (CVE-2024-4577).


Напомним, что RCE-уязвимость CVE-2024-4577 (9,8 балла по шкале CVSS) в PHP-CGI была раскрыта в начале июня 2024 года. Она позволяет злоумышленнику удаленно выполнять вредоносные команды в Windows-системах. Проблема усугубляется при использовании некоторых локализаций, которые более восприимчивы к этому багу, включая традиционный китайский, упрощенный китайский и японский.


Как теперь сообщили специалисты Symantec Threat Hunter Team, Msupedge распространялся при помощи двух библиотек (weblog.dll и wmiclnt.dll), первая из которых загружалась процессом httpd.exe Apache, а родительский процесс для второй DLL остался неустановленным.


Отличительной особенностью Msupedge эксперты называют использование DNS-трафика для связи с управляющим сервером. DNS-туннелирование (функция реализована на базе опенсорсного инструмента dnscat2) позволяет хакерам инкапсулировать данные в DNS-запросы и ответы для получения команд от управляющего сервера. Так, злоумышленники могут использовать Msupedge для выполнения различных команд, которые запускаются на основе третьего октета разрешенного IP-адреса управляющего сервера.


И хотя некоторые хак-группы использовали такие методы в прошлом, отмечается, что в реальных атаках они все же встречаются редко.


Что касается самого бэкдора, эксперты предупредили, что Msupedge мог использоваться хакерами для выполнения различных команд, включая создание процессов, загрузку файлов и управление временными файлами.


Стоит отметить, что проблема CVE-2024-4577 уже используется для атак и другими хакерами. К примеру, в июле 2024 года специалисты Akamai сообщали, что множество злоумышленников используют эту  уязвимость для распространения троянов удаленного доступа, криптовалютных майнеров и организации DDoS-атак.


В том же месяце аналитики компании Imperva писали, что баг начали эксплуатировать участники вымогательской группировки TellYouThePass для распространения .NET-варианта своего шифровальщика.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

ИБ-специалисты обнаружили, что неизвестные злоумышленники развернули в Windows-системах одного из университетов Тайваня ранее неизвестный бэкдор под названием Msupedge. Для атаки на образовательное учреждение, судя по всему, использовалась недавно исправленная RCE-уязвимость в PHP (CVE-2024-4577). Напомним, что RCE-уязвимость CVE-2024-4577 (9,8 балла по шкале CVSS) в PHP-CGI была раскрыта в начале июня 2024 года. Она позволяет злоумышленнику удаленно выполнять вредоносные команды в Windows-системах. Проблема усугубляется при использовании некоторых локализаций, которые более восприимчивы к этому багу, включая традиционный китайский, упрощенный китайский и японский. Как теперь сообщили специалисты Symantec Threat Hunter Team, Msupedge распространялся при помощи двух библиотек (weblog.dll и wmiclnt.dll), первая из которых загружалась процессом httpd.exe Apache, а родительский процесс для второй DLL остался неустановленным. Отличительной особенностью Msupedge эксперты называют использование DNS-трафика для связи с управляющим сервером. DNS-туннелирование (функция реализована на базе опенсорсного инструмента dnscat2) позволяет хакерам инкапсулировать данные в DNS-запросы и ответы для получения команд от управляющего сервера. Так, злоумышленники могут использовать Msupedge для выполнения различных команд, которые запускаются на основе третьего октета разрешенного IP-адреса управляющего сервера. И хотя некоторые хак-группы использовали такие методы в прошлом, отмечается, что в реальных атаках они все же встречаются редко. Что касается самого бэкдора, эксперты предупредили, что Msupedge мог использоваться хакерами для выполнения различных команд, включая создание процессов, загрузку файлов и управление временными файлами. Стоит отметить, что проблема CVE-2024-4577 уже используется для атак и другими хакерами. К примеру, в июле 2024 года специалисты Akamai сообщали, что множество злоумышленников используют эту уязвимость для распространения троянов удаленного доступа, криптовалютных майнеров и организации DDoS-атак. В том же месяце аналитики компании Imperva писали, что баг начали эксплуатировать участники вымогательской группировки TellYouThePass для распространения .NET-варианта своего шифровальщика.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: