Symantecは8月20日(米国時間)、「New Backdoor Targeting Taiwan Employs Stealthy Communications|Symantec Enterprise Blogs」において、6月に発見されたPHPの緊急の脆弱性が悪用され、台湾の大学に新しいバックドア「Msupedge」がインストールされたと報じた。悪用された脆弱性は「CVE-2024-4577」として追跡されているもので、詳細は「WindowsのPHPサーバーに緊急の脆弱性、確認とアップデートを | TECH+(テックプラス)」にて報じている。
侵害経路
Symantecの調査によると、初期の感染経路は脆弱性「CVE-2024-4577」を悪用したリモートコード実行(RCE: Remote Code Execution)の可能性が高いという。脆弱性の悪用を特定できる証拠は確認できていないが、複数の脅威アクターがここ数週間、脆弱なシステムをスキャンしていたことを確認したと説明している。
新しいバックドア「Msupedge」
発見されたバックドア「Msupedge」は新しいマルウェアとされる。このバックドアからはコマンド&コントロール(C2: Command and Control)サーバとの通信にDNSトラフィックを使用する珍しい機能が確認されている。
Symantecの調査によると、侵害されたWindows環境には次のファイルがインストールされるという。
- csidl_drive_fixed\xampp\wuplog.dll
- csidl_system\wbem\wmiclnt.dll
いずれもMsupedge本体とされ、いずれかがロードされることで機能する。wuplog.dllはApacheによりロードされるが、wmiclnt.dllをロードするプロセスは明らかになっていない。
Symantecの分析により判明したバックドアの機能は次のとおり。
- 任意コマンドの実行
- ファイルのダウンロード
- ファイル「%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp」の作成および削除
対策
PHPの脆弱性はすでに修正されている。影響を受けるバージョンのPHPおよびWindowsシステムを運用している管理者は、速やかなアップデートが推奨されている。アップデートが困難な場合はApacheの設定を変更することで影響を一時的に軽減することができる。