Un acteur de la menace inconnu a rcemment dploy une nouvelle porte drobe baptise Msupedge sur les systmes Windows d’une universit Tawan. Un rapport sur l’incident suggre que les attaquants ont probablement exploit une vulnrabilit PHP rcemment corrige, connue sous le nom de CVE-2024-4577. Cette vulnrabilit affecte principalement les installations Windows utilisant les langues chinoise et japonaise. L’exploitation russie de la vulnrabilit peut conduire l’excution de code distance. Au cours des derniers mois, les chercheurs ont observ que de nombreux acteurs de la menace recherchaient des systmes vulnrables.
Une universit de Tawan vise par une nouvelle porte drobe baptise Msupedge
CVE-2024-4577 (Score CVSS : 9,8) est une faille critique d’injection d’arguments PHP-CGI corrige en juin qui affecte les installations PHP fonctionnant sur des systmes Windows avec PHP en mode CGI. Elle permet des attaquants non authentifis d’excuter du code arbitraire et de compromettre compltement le systme en cas d’exploitation russie. Les auteurs de la menace ont diffus le maliciel sous la forme de deux bibliothques de liens dynamiques (weblog.dll et wmiclnt.dll), la premire tant charge par le processus Apache httpd.exe. La socit de scurit Symantec a fourni une analyse de l’incident.
Rcupration de l’adresse IP rsolue
La caractristique la plus remarquable de Msupedge est l’utilisation du trafic DNS pour communiquer avec le serveur de commande et de contrle (C&C). Bien que de nombreux gangs de pirates aient adopt cette technique par le pass, elle n’est pas couramment observe dans la nature. Selon le rapport de Symantec, le maliciel Msupedge exploite la tunnellisation DNS (une fonction mise en uvre sur la base de l’outil open source dnscat2), qui permet d’encapsuler des donnes dans des requtes et des rponses DNS afin de recevoir des commandes de la part de son serveur de commande et de contrle.
Par rapport des mthodes plus videntes comme la tunnellisation HTTP ou HTTPS, cette technique peut tre plus difficile dtecter, car le trafic DNS est gnralement considr comme bnin et est souvent ignor par les outils de scurit. Selon les experts en cyberscurit, les acteurs de la menace peuvent utiliser Msupedge pour excuter diverses commandes, qui sont dclenches sur la base du troisime octet de l’adresse IP rsolue du serveur de commande et de contrle.
Le rapport note que Msupedge prend galement en charge plusieurs commandes, notamment la cration de processus, le tlchargement de fichiers et la gestion de fichiers temporaires. Voici ci-dessous la liste des commandes prises en charge par la porte drobe Msupedge :
- 0x8a : cration d’un processus l’aide d’une commande reue via un enregistrement DNS TXT ;
- 0x75 : tlchargement d’un fichier l’aide d’une URL de tlchargement reue via un enregistrement DNS TXT ;
- 0x24 : mise en veille pendant un intervalle de temps prdtermin ;
- 0x66 : mise en veille pendant un intervalle de temps prdtermin ;
- 0x38 : cration d’un fichier temporaire %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp dont le but est inconnu ;
- 0x3c : supprime le fichier %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp .
L’quipe Threat Hunter de Symantec, qui a enqut sur l’incident et repr le logiciel malveillant, pense que les attaquants ont accd aux systmes compromis aprs avoir exploit la vulnrabilit CVE-2024-4577. Cette faille de scurit contourne les protections mises en place par l’quipe PHP pour la CVE-2012-1823, qui a t exploite dans des attaques des annes aprs sa remdiation pour cibler des serveurs Linux et Windows avec le logiciel malveillant RubyMiner.
L’intrusion initiale s’est probablement faite par l’exploitation d’une vulnrabilit PHP rcemment corrige (CVE-2024-4577). Symantec a vu de nombreux acteurs de la menace rechercher des systmes vulnrables au cours des dernires semaines. ce jour, nous n’avons trouv aucune preuve nous permettant d’attribuer cette menace et le motif de l’attaque reste inconnu , affirme l’quipe Threat Hunter de Symantec. Certains critiques accusent la Chine d’en tre l’origine.
Les chercheurs observent une augmentation des attaques de logiciels malveillants
Un jour aprs la publication des correctifs CVE-2024-4577 par les responsables du projet PHP, WatchTowr Labs a publi un code d’exploitation de type « preuve de concept » (PoC). Le mme jour, la Shadowserver Foundation a signal avoir observ des tentatives d’exploitation sur ses pots de miel. Toutefois, moins de 48 heures aprs la publication des correctifs, le gang du ransomware TellYouThePass a galement commenc exploiter la vulnrabilit pour dployer des Shell Web et chiffrer les systmes des victimes. (Un Shell Web est un outil permettant aux pirates d’excuter des commandes sur votre serveur Web.)
Le comportement de la porte drobe Msupedge change en fonction des valeurs du troisime octet de l’adresse IP moins sept
D’aprs une tude publie rcemment par Malwarebytes, au cours de l’anne coule, les tats-Unis ont connu une augmentation spectaculaire de 63 % des attaques de ransomware, et le Royaume-Uni une augmentation encore plus importante de 67 %. La part des attaques menes par des gangs n’appartenant pas au top 15 est passe de 25 % 31 %, ce qui indique que les ransomwares sont de plus en plus accessibles un plus grand nombre de cybercriminels.
Les tats-Unis reprsentent dsormais 48 % de l’ensemble des attaques de ransomware dans le monde, mais ils subissent 60 % des attaques contre le secteur de l’ducation et 71 % des attaques contre le secteur de la sant. Le secteur manufacturier a connu une augmentation de 71 % des attaques de ransomware d’une anne sur l’autre, ce qui souligne la ncessit de mettre en place des mesures de cyberscurit solides dans l’industrie, qui cherche se numriser.
Au dbut du mois de juin, des chercheurs ont dcouvert une campagne mene par des pirates souponns d’tre affilis l’tat chinois, connue sous le nom de RedJuliett, qui visait des dizaines d’organisations Tawan, dont des universits, des agences d’tat, des fabricants d’lectronique et des organisations religieuses.
Comme beaucoup d’autres acteurs chinois de la menace, les chercheurs pensent que le groupe a probablement cibl des vulnrabilits dans des dispositifs orients vers Internet, tels que des pare-feu et des VPN d’entreprise, pour l’accs initial, car ces dispositifs ont souvent une visibilit et des solutions de scurit limites.
En aot, un institut de recherche affili au gouvernement tawanais et travaillant sur des technologies sensibles a t viol par l’un des groupes de pirates les plus clbres de la Chine, APT41. Les pirates ont dploy le logiciel malveillant ShadowPad et plusieurs outils supplmentaires crits en chinois simplifi.
Source : rapport d’analyse
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des techniques exploites par les pirates pour dployer la porte drobe Msupedge ?
Quelles sont les habitudes que les utilisateurs et les organisations peuvent adopter pour se prmunir de ce type d’attaque ?
Selon vous, qu’est-ce qui pourrait expliquer l’augmentation des attaques de logiciels malveillants au cours des dernires annes ?
Les pratiques en matire de scurit ont-elles du plomb dans l’aile ? Ont-elles t dpasses par les efforts des acteurs de la menace ?
Voir aussi