Bilinmeyen saldırganlar, Tayvan’daki bir üniversitenin Windows sistemlerine Msupedge adı verilen yeni keşfedilen bir arka kapıyı yerleştirdi; bunun için muhtemelen yakın zamanda yamalanmış bir PHP uzaktan kod yürütme güvenlik açığından (CVE-2024-4577) yararlandılar.
CVE-2024-4577, Haziran ayında yamalanan ve PHP’nin CGI modunda çalıştığı Windows sistemlerinde çalışan PHP kurulumlarını etkileyen kritik bir PHP-CGI argüman enjeksiyon kusurudur. Kimliği doğrulanmamış saldırganların keyfi kod yürütmesine izin verir ve başarılı bir istismarın ardından sistemin tamamen tehlikeye girmesine yol açar.
Tehdit aktörleri, kötü amaçlı yazılımı iki dinamik bağlantı kütüphanesi (weblog.dll ve wmiclnt.dll) olarak bıraktı; ilki httpd.exe Apache işlemi tarafından yüklendi.
Msupedge’in en dikkat çekici özelliği, komuta ve kontrol (C&C) sunucusuyla iletişim kurmak için DNS trafiğini kullanmasıdır. Birçok tehdit grubu geçmişte bu tekniği benimsemiş olsa da, vahşi doğada yaygın olarak gözlemlenmez.
Verilerin DNS sorguları ve yanıtları içerisinde kapsüllenmesini ve C&C sunucusundan komutlar alınmasını sağlayan DNS tünellemesinden (açık kaynaklı dnscat2 aracına dayalı olarak uygulanan bir özellik) yararlanır.
Saldırganlar, C&C sunucusunun çözülmüş IP adresinin üçüncü oktetine göre tetiklenen çeşitli komutları yürütmek için Msupedge’i kullanabilir. Arka kapı ayrıca, süreçler oluşturma, dosyaları indirme ve geçici dosyaları yönetme dahil olmak üzere birden fazla komutu destekler.
PHP RCE açığının istismarı
Olayı araştıran ve yeni kötü amaçlı yazılımı tespit eden Symantec Tehdit Avcısı Ekibi, saldırganların CVE-2024-4577 açığından yararlanarak tehlikeye atılan sistemlere erişim sağladığına inanıyor.
Bu güvenlik açığı, PHP ekibi tarafından CVE-2012-1823 için uygulanan korumaları atlatıyor. Bu koruma, düzeltilmesinden yıllar sonra Linux ve Windows sunucularını RubyMiner kötü amaçlı yazılımıyla hedef alan kötü amaçlı yazılım saldırılarında istismar edilmişti.
Symantec’in Tehdit Avcısı Ekibi, “İlk saldırının muhtemelen yakın zamanda yamalanan bir PHP açığının (CVE-2024-4577) istismarı yoluyla gerçekleştiğini” söyledi.
“Symantec son haftalarda birden fazla tehdit aktörü tarafından savunmasız sistemler için tarama yapıldığını gördü. Bugüne kadar bu tehdidi nitelendirmemize izin veren hiçbir kanıt bulamadık ve saldırının arkasındaki sebep hala bilinmiyor.”
Cuma günü, PHP bakımcılarının CVE-2024-4577 yamalarını yayınlamasından bir gün sonra, WatchTowr Labs kavram kanıtı (PoC) istismar kodunu yayınladı. Aynı gün, Shadowserver Foundation, bal tuzaklarında istismar girişimleri gözlemlediğini bildirdi.
Bir gün sonra, yamaların yayınlanmasından 48 saatten kısa bir süre sonra, TellYouThePass fidye yazılımı çetesi de bu güvenlik açığından yararlanarak web kabukları dağıtmaya ve kurbanların sistemlerini şifrelemeye başladı.