黑客应用 破绽入侵 Windows PHP 10 后门曝光 Msupedge

8 月 21 日信息,科技媒体 bleepingcomputer 昨日(8 月 20 日)报道,有黑客应用近期修复的 PHP 远程代码口头破绽(CVE-2024-4577), 在 Windows 系统上部署名为“Msupedge”的后门

CVE-2024-4577

IT之家曾于往年 6 月、7 月报道,PHP for Windows 装置包中存在远程代码口头(RCE)破绽,影响到自版以来的一切版本,或许对世界少量主机形成影响。

官方曾经于 6 月颁布补丁修复了该破绽,未经认证的攻打者应用该破绽可以口头恣意代码,并在成功应用后可以让系统齐全解体。

Msupedge 后门

攻打者制造并投放了(Apache 进程装载)和两个灵活链接库文件,经常使用 DNS 流量与命令与控制(C&C)主机启动通讯。

该破绽应用 DNS 隧道(基于开源 dnscat2 工具成功的配置),在 DNS 查问和照应中封装数据,以接纳来自其 C&C 主机的命令。

攻打者可以应用 Msupedge 口头各种命令,这些命令是依据 C&C 主机解析 IP 地址的八比特(Octet)第三位触发的。该后门还允许多种命令,包含创立进程、下载文件和治理暂时文件。

赛门铁克 Threat Hunter Team 团队深化考查了该破绽,以为攻打者是应用 CVE-2024-4577 破绽入侵系统的。

该安保破绽绕过了 PHP 团队针对 CVE-2012-1823 实施的包全措施,而 CVE-2012-1823 在修复多年后被恶意软件攻打应用,应用 RubyMiner 恶意软件攻打 Linux 和 Windows 主机。

您可能还会对下面的文章感兴趣: