Hacker กำลังใช้ช่องโหว่ PHP บน Windows เพื่อโจมตีด้วยมัลแวร์ตัวใหม่

Hacker กำลังใช้ช่องโหว่ PHP บน Windows เพื่อโจมตีด้วยมัลแวร์ตัวใหม่

ทีม Threat Hunter ของ Symantec พบกลุ่ม Hacker ที่ยังไม่ถูกระบุชื่อ ใช้ backdoor ตัวใหม่ที่ชื่อ Msupedge บนระบบ Windows ของมหาวิทยาลัยแห่งหนึ่งในไต้หวัน โดยคาดว่าน่าจะใช้ช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลของ PHP ที่เพิ่งได้รับการแก้ไขเมื่อไม่นานนี้ (CVE-2024-4577)

CVE-2024-4577 (คะแนนCVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่การแทรกอาร์กิวเมนต์ PHP-CGI ส่งผลกระทบต่อการติดตั้ง PHP ที่ทำงานบนระบบ Windows ที่มี PHP ทำงานในโหมด CGI ช่องโหว่นี้ทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งได้ และนำไปสู่การเข้าสู่ระบบอย่างสมบูรณ์หลังจากการโจมตีสำเร็จ ช่องโหว่ดังกล่าวได้รับการแก้ไขไปแล้วในเดือนมิถุนายน 2024

Hacker ได้ปล่อยมัลแวร์ในรูปแบบ dynamic link libraries 2 ตัว (weblog.dll และ wmiclnt.dll) ซึ่งดาวน์โหลดโดย process httpd.exe ของ Apache

คุณสมบัติที่โดดเด่นที่สุดของ Msupedge คือการใช้การรับส่งข้อมูล DNS (DNS tunneling) เพื่อสื่อสารกับ command-and-control (C&C) server แม้ว่าจะเป็นวิธีการที่มีมานานแล้ว แต่ก็ยังพบเห็นได้น้อย

DNS tunneling (ฟีเจอร์ที่ใช้งานโดยอาศัยเครื่องมือโอเพ่นซอร์สในชื่อ dnscat2) ที่ช่วยให้สามารถรวมข้อมูลไว้ใน DNS queries and responses เพื่อรับคำสั่งจาก C&C server ได้

Hacker สามารถใช้ Msupedge เพื่อดำเนินการคำสั่งต่าง ๆ ซึ่งจะถูกเรียกใช้งานโดยอิงจาก third octet ของ IP address ได้รับการ resolved นอกจากนี้ backdoor ยังรองรับคำสั่งต่าง ๆ มากมาย รวมถึงการสร้าง process การดาวน์โหลดไฟล์ และการจัดการไฟล์ชั่วคราว

การโจมตีช่องโหว่ PHP RCE

ทีม Threat Hunter ของ Symantec ซึ่งได้สืบสวนเหตุการณ์ดังกล่าว และตรวจพบมัลแวร์ตัวใหม่ เชื่อว่า Hacker สามารถเข้าถึงระบบที่ถูกโจมตีได้หลังจากใช้ช่องโหว่ CVE-2024-4577

ช่องโหว่ดังกล่าวจะหลีกเลี่ยงการป้องกันที่ดำเนินการโดย PHP team สำหรับ CVE-2012-1823 ซึ่งถูกใช้ประโยชน์ในการโจมตีด้วยมัลแวร์หลายปีหลังจากการได้รับการแก้ไขแล้ว โดยกำหนดเป้าหมายการโจมตีไปยังเซิร์ฟเวอร์ Linux และ Windows ด้วยมัลแวร์ RubyMiner

ต่อมาทาง WatchTowr Labs ได้เผยแพร่ชุดสาธิตการโจมตี proof-of-concept (PoC) รวมถึงทาง Shadowserver Foundation ได้รายงานว่าเริ่มพบการโจมตีโดยใช้ช่องโหว่ดังกล่าว เช่นเดียวกับกลุ่มแรนซัมแวร์ TellYouThePass ที่ได้ใช้ช่องโหว่ดังกล่าวในการติดตั้งเว็บเชลล์ และเข้ารหัสระบบของเป้าหมาย

ที่มา : BLEEPINGCOMPUTER