Prethodno nedokumentovani backdoor pod imenom Msupedge stavljen je u upotrebu protiv sajber napada ciljanog na neimenovani univerzitet na Tajvanu.
„Najznačajnija karakteristika ovog backdoor-a je to što komunicira sa serverom za komandu i kontrolu (C&C) putem DNS saobraćaja,“ navodi Symantec Threat Hunter Team, dio Broadcoma, u izvještaju podijeljenom za The Hacker News.
Porijeklo backdoor-a trenutno je nepoznato, kao ni ciljevi napada.
Za početni pristupni vektor koji je vjerovatno olakšao primenu Msupedgea se kaže da uključuje iskorištavanje nedavno otkrivene kritične greške koja utiče na PHP ( CVE-2024-4577 , CVSS rezultat: 9.8), a koja bi se mogla koristiti za postizanje daljinskog izvršavanja koda .
Dotični backdoor je biblioteka dinamičke veze (DLL) koja je instalirana na stazama “csidl_drive_fixed\xampp\” i “csidl_system\wbem\.” Jedan od DLL-ova, wuplog.dll, pokreće Apache HTTP server (httpd). Roditeljski proces za drugi DLL je nejasan.
Najznačajniji aspekt Msupedgea je njegovo oslanjanje na DNS tuneliranje za komunikaciju sa C&C serverom, sa kodom baziranim na open-source alatu dnscat2 .
“Prima komande izvršavanjem razlučivanja imena”, napominje Symantec. “Msupedge ne samo da prima komande preko DNS saobraćaja, već takođe koristi riješenu IP adresu C&C servera (ctl.msedeapi[.]net) kao komandu.”
Konkretno, treći oktet razriješene IP adrese funkcioniše kao slučaj prekidača koji određuje ponašanje backdoor-a oduzimanjem sedam od njega i korištenjem njegove heksadecimalne notacije za pokretanje odgovarajućih odgovora. Na primjer, ako je treći oktet 145, novoizvedena vrijednost se prevodi u 138 (0x8a).
Komande koje podržava Msupedge navedene su ispod –
- 0x8a: Kreirajte proces koristeći naredbu primljenu preko DNS TXT zapisa
- 0x75: Preuzmite datoteku koristeći URL za preuzimanje primljen preko DNS TXT zapisa
- 0x24: Spavanje u unaprijed određenom vremenskom intervalu
- 0x66: Spavanje u unaprijed određenom vremenskom intervalu
- 0x38: Kreirajte privremeni fajl “%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp” čija je svrha nepoznata
- 0x3c: Izbrišite datoteku “%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”
Razvoj dolazi kada je grupa prijetnji UTG-Q-010 povezana s novom phishing kampanjom koja koristi mamce vezane za kriptovalute i posao za distribuciju zlonamjernog softvera otvorenog koda pod nazivom Pupy RAT .
“Lanac napada uključuje korištenje zlonamjernih .lnk datoteka s ugrađenim DLL učitavačem, koji završava u Pupy RAT primjeni korisnog opterećenja,” kaže Symantec . “Pupy je trojanac za daljinski pristup baziran na Pythonu (RAT) s funkcionalnošću za reflektivno učitavanje DLL-a i izvršavanje u memoriji, između ostalog.”
Izvor: TheHackerNews