대만의 한 대학의 윈도우 시스템에 알려지지 않은 공격자들이 최근에 발견된 백도어인 'Msupedge'를 배포했습니다. 이는 아마도 최근에 패치된 PHP 원격 코드 실행 취약점(CVE-2024-4577)을 이용한 것으로 보입니다. 이 취약점은 윈도우 시스템에서 CGI 모드로 실행되는 PHP 설치에 영향을 미치며, 인증되지 않은 공격자가 임의의 코드를 실행할 수 있고 성공적인 공격 후에는 시스템을 완전히 탈취할 수 있게 합니다.
Msupedge의 가장 주목할 만한 특징은 DNS 트래픽을 이용하여 명령 및 제어(C&C) 서버와 통신하는 것입니다. 이는 과거에 많은 위협 그룹들이 채택했지만, 실제로는 흔히 관찰되지 않는 기술입니다. 이 백도어는 DNS 터널링을 이용하여 데이터를 DNS 쿼리와 응답 내에 캡슐화하고, 이를 통해 C&C 서버로부터 명령을 받을 수 있습니다. 공격자들은 Msupedge를 이용하여 다양한 명령을 실행할 수 있으며, 이는 C&C 서버의 해결된 IP 주소의 세 번째 옥텟에 기반하여 트리거됩니다.
Symantec의 Threat Hunter Team은 이 사건을 조사하고 새로운 악성 소프트웨어를 발견했으며, 공격자들이 CVE-2024-4577 취약점을 이용하여 손상된 시스템에 접근했다고 보고 있습니다. 이 보안 결함은 PHP 팀이 CVE-2012-1823에 대해 구현한 보호 조치를 우회하며, 이는 수정 후 몇 년 동안 RubyMiner 악성 소프트웨어 공격의 대상이 된 Linux와 윈도우 서버를 공격하는 데 악용되었습니다.
요약
- 대만의 한 대학의 윈도우 시스템에 알려지지 않은 공격자들이 새로 발견된 백도어 'Msupedge'를 배포했다.
- Msupedge는 DNS 트래픽을 이용하여 명령 및 제어(C&C) 서버와 통신하는 것이 주요 특징이다.
- Symantec의 Threat Hunter Team은 공격자들이 CVE-2024-4577 취약점을 이용하여 손상된 시스템에 접근했다고 보고 있다.
- 이 보안 결함은 PHP 팀이 CVE-2012-1823에 대해 구현한 보호 조치를 우회한다.
- 이 취약점은 수정 후 몇 년 동안 RubyMiner 악성 소프트웨어 공격의 대상이 된 Linux와 윈도우 서버를 공격하는 데 악용되었다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.