Symantec’teki siber güvenlik araştırmacıları yakın zamanda CGI argüman enjeksiyon kusurunda bir PHP zafiyetini (CVE-2024-4577) kullanan yeni bir kötü amaçlı yazılım tespit etti. Bu zafiyet Windows işletim sistemine yüklenen tüm PHP sürümlerini etkiler ve sonunda uzaktan keyfi kod yürütür.
Tayvan’daki bir üniversite, daha önce bildirilen ancak yaygın olarak kullanılmayan bir teknik kullanan Backdoor.Msupedge adlı yeni bir arka kapı türünün hedefi haline geldi.
Siber güvenlik uzmanları bu kötü amaçlı yazılımın ayırt edici özelliğini, komuta ve kontrol (C&C) sunucusu iletişimi için DNS trafiğini kullanması olarak açıklıyorlar; ancak bunu gerçek hayatta nadiren gördüler.
Daha önce başka tehdit aktörleri de DNS tabanlı C&C tekniklerini kullanmış olsa da bu saldırı siber güvenlikte yokluğuyla öne çıkıyor.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
Teknik Analiz
Msupedge, aşağıdaki yollarda tespit edilen karmaşık bir DLL arka kapısıdır: csidl_drive_fixed\xampp\wuplog.dll ve csidl_system\wbem\wmiclnt.dll.
Bu, C&C iletişimini gerçekleştirmek için dnscat2 aracını kullanarak DNS tünellemesini kullanır.
Bellek ayırma hatası için komut yapısı olarak sıkıştırmayı kaldırma komutları, komut yürütme ve hata bildirimleri olarak gönderilen sorgulardaki ana bilgisayar adları kullanılır.
.webp)
Bunlar beşinci seviye alanlar olarak kodlanır ve daha sonra geri iletilir.
.webp)
Msupedge ayrıca ctl.msedeapi’yi de kullanır[.]net, C&C sunucusunun IP adresini üçüncü oktetten yedi çıkarılarak belirten bir komuttur ve bu da davranışını buna göre değiştiren bir anahtar durumu işlevi görür.
.webp)
Bir yandan Apache (httpd.exe) wuplog.dll’yi yüklüyor, ancak wmiclnt.dll’nin üst işlemi hala bilinmiyor.
Msupedge, gizli iletişim kanallarını koruyan ve işlevselliğin zaman içinde ayarlanmasına olanak tanıyan çok yönlü bir yaklaşıma dönüştü.
Msupedge aşağıdaki komutları destekler:-
- Case 0x8a : İşlem oluşturuluyor. Komut DNS TXT kaydı üzerinden alınıyor.
- Case 0x75 : Dosya indir. İndirme URL’si DNS TXT kaydı aracılığıyla alındı.
- Durum 0x24 : Uyku (ip_4 * 86400 * 1000 ms).
- Durum 0x66 : Uyku (ip_4 * 3600 * 1000 ms).
- Case 0x38 : %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp dosyası oluşturuldu. Bu dosyanın amacı bilinmiyor.
- Durum 0x3c: %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp dosyasını kaldırın.
İlk saldırı, Windows işletim sistemine yüklü tüm PHP sürümlerini etkileyen, yakın zamanda düzeltilen “CVE-2024-4577” olarak bilinen PHP güvenlik açığından yararlanan biri tarafından yapıldı.
CGI argüman enjeksiyonunda bulunan bir güvenlik açığıdır ve bilgisayar korsanlarının PHP CGI betiklerine kötü amaçlı argümanlar enjekte etmesine olanak tanır.
Böyle bir hatanın başarılı bir şekilde istismar edilmesi, saldırganların güvenlik açığı bulunan sistemlerde herhangi bir kodu çalıştırmasına olanak verecek uzaktan kod yürütülmesine yol açma potansiyeline sahiptir.
Bunun yanı sıra Symantec, son zamanlarda farklı kuruluşların bu açığı içeren sistemleri taradığını fark etti.
IoC’ler
- e08dc1c3987d17451a3e86c04ed322a9424582e2f2cb6352c892b7e0645eda43 – Arka kapı.Msupedge
- f5937d38353ed431dc8a5eb32c119ab575114a10c24567f0c864cb2ef47f9f36 – Arka kapı.Msupedge
- a89ebe7d1af3513d146a831b6fa4a465c8edeafea5d7980eb5448a94a4e34480 – Web kabuğu
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot