Atacantes desconocidos han implementado una backdoor llamada «Msupedge» en sistemas Windows, probablemente aprovechando una vulnerabilidad recientemente parcheada en PHP que permite la ejecución remota de código.

La vulnerabilidad CVE-2024-4577, corregida en junio, es un fallo crítico que afecta a las instalaciones de PHP que se ejecutan en modo CGI en Windows. Este exploit permite a los atacantes no autenticados ejecutar código arbitrario, comprometiendo completamente el sistema. Los actores de amenazas distribuyeron el malware mediante dos archivos DLL (weblog.dll y wmiclnt.dll), donde el primero es cargado por el proceso httpd.exe de Apache.

Lo que hace destacar a Msupedge es su que utiliza un túnel DNS, basado en la herramienta de código abierto dnscat2, para encapsular datos en consultas y respuestas, permitiendo a los atacantes ejecutar varios comandos, activados por el tercer octeto de la dirección IP resuelta del servidor de comando y control, y tiene capacidades como la creación de procesos, descarga de archivos y gestión de archivos temporales.

El equipo de Symantec sostiene que los atacantes ganaron acceso a los sistemas comprometidos al explotar la vulnerabilidad CVE-2024-4577. Este fallo de seguridad elude las protecciones implementadas para CVE-2012-1823, que fue utilizado años después de su corrección para atacar servidores Linux y Windows con malware RubyMiner.

Un día después de que se lanzaran los parches CVE-2024-4577, WatchTowr Labs publicó un código de explotación de prueba de concepto (PoC), y la Fundación Shadowserver detectó intentos de explotación en sus honeypots. Menos de 48 horas después, TellYouThePass Ransomware comenzó a explotar la vulnerabilidad para instalar webshells y cifrar los sistemas de las víctimas.

Fuente:

Hackers use PHP exploit to backdoor Windows systems with new malware

New Backdoor Targeting Taiwan Employs Stealthy Communications | Symantec Enterprise