Msupedge という新たなバックドア：DNS と PHP の CVE-2024-4577 を悪用

Hackers Exploit PHP Vulnerability to Deploy Stealthy Msupedge Backdoor

2024/08/20 TheHackerNews — Msupedge という新たなバックドアを用いるハッカーたちが、台湾の大学を標的にしたサイバー攻撃を行っている。Broadcom 傘下の Symantec Threat Hunter Team は、「Msupedge の最大の特徴は、DNS トラフィックを介して C&C (command-and-control) サーバと通信する点だ」と述べている。この攻撃の目的とバックドアの出どころは、現在のところ不明である。

Msupedge のデプロイメントを容易にしているイニシャル・アクセス・ベクターは、先日に公開された PHP の深刻な脆弱性 CVE-2024-4577 (CVSS：9.8) の悪用にあると言われており、リモート・コードの実行 に悪用されている可能性があるという。

問題となっているバックドアは、”csidl_drive_fixed\xampp” および “csidl_system\wbem\” というパスにインストールされている DLL (dynamic-link library) である。１つ目の DLL である “wuplog.dll” は、Apache HTTP サーバ (httpd) により起動される。しかし、２つ目の DLL の親プロセスは不明であるという。

Msupedge の最も注目すべき点は、C&C サーバとの通信を DNS トンネリングに依存していることであり、オープンソースの dnscat2 ツールをベースにしたコードが悪用されている。

Symantec は、「名前の解決を実行することで、コマンドが受信される。さらに、この Msupedge は、DNS トラフィックを介してコマンドを受信するだけではなく、C&C サーバの解決された IP アドレス (ctl.msedeapi[.]net) をコマンドとして使用している」と指摘する。

具体的に言うと、解決された IP アドレスの 3rd オクテットがスイッチ・ケースとして機能し、そこから “7” を引くことでバックドアの動作を決定し、その16進数表記を使って適切なレスポンスをトリガーする。たとえば、3rd オクテットが “145” の場合には、新たに導き出された値は “138 (0x8a)” に変換される。

Msupedge がサポートするコマンドは以下の通りである：

• 0x8a：DNS TXTレコード経由で受信したコマンドを使用してプロセスを作成する。
• 0x75：DNS TXT レコード経由で受信したダウンロード URL によりファイルをダウンロードする。
• 0x24：所定の時間間隔でスリープする
• 0x66：指定された時間だけスリープする
• 0x38：目的不明の一時ファイル “%temp%e5bf625-1678-zzcv-90b1-199aa47c345.tmp” を作成する。
• 0x3c：上記のファイル “%temp%e5bf625-1678-zzcv-90b1-199aa47c345.tmp” を削除する。

この展開が明らかになったのは、新たなフィッシング・キャンペーンの分析した結果による。そのキャンペーンでは、脅威グループ UTG-Q-010 が、暗号通貨や求人に関連する誘い文句で、Pupy RAT と呼ばれるオープンソースのマルウェアを配布していた。

Symantec は、「この攻撃の連鎖には、DLL ローダーが埋め込まれた、悪意の .lnk ファイルが使用されており、最終的に Pupy RAT ペイロードが展開されていた。Pupy は、Python ベースの RAT(Remote Access Trojan) であり、反射型の DLL ローディングやインメモリ実行などの機能を備えている」と述べている。

DNS を使って、Command and Control を行うという、とてもユニークなバックドアが発見されました。いろいろと考えるものですね。なお、PHP の脆弱性 CVE-2024-4577 ですが、第一報は 2024/06/06 の「PHP の深刻な RCE 脆弱性 CVE-2024-4577 が FIX：数百万台のサーバが危険な状態！」となっています。その後にも、いくつかの悪用事例などを報じる記事がありますので、よろしければ、ご参照ください。

2024/07/14：PHP の脆弱性 CVE-2024-4577：Mitel 製品にも影響
2024/07/11：PHP の脆弱性 CVE-2024-4577：マルウェア配布で悪用
2024/06/10：PHP の脆弱性 CVE-2024-4577：TellYouThePass ランサム
2024/06/07：PHP の深刻な脆弱性 CVE-2024-4577：PoC が公開