Site icon Kiber.ba

Hakeri iskorištavaju ranjivost PHP-a da bi implementirali skriveni Msupedge Backdoor

Hakeri iskorištavaju ranjivost PHP-a da bi implementirali skriveni Msupedge Backdoor-Kiber.ba

Hakeri iskorištavaju ranjivost PHP-a da bi implementirali skriveni Msupedge Backdoor-Kiber.ba

Prethodno nedokumentovani backdoor pod imenom Msupedge stavljen je u upotrebu protiv sajber napada ciljanog na neimenovani univerzitet na Tajvanu.

„Najznačajnija karakteristika ovog backdoor-a je to što komunicira sa serverom za komandu i kontrolu (C&C) putem DNS saobraćaja,“ navodi Symantec Threat Hunter Team, dio Broadcoma, u izvještaju podijeljenom za The Hacker News.

Porijeklo backdoor-a trenutno je nepoznato, kao ni ciljevi napada.

Za početni pristupni vektor koji je vjerovatno olakšao primenu Msupedgea se kaže da uključuje iskorištavanje nedavno otkrivene kritične greške koja utiče na PHP ( CVE-2024-4577 , CVSS rezultat: 9.8), a koja bi se mogla koristiti za postizanje daljinskog izvršavanja koda .

Dotični backdoor je biblioteka dinamičke veze (DLL) koja je instalirana na stazama “csidl_drive_fixed\xampp\” i “csidl_system\wbem\.” Jedan od DLL-ova, wuplog.dll, pokreće Apache HTTP server (httpd). Roditeljski proces za drugi DLL je nejasan.

Najznačajniji aspekt Msupedgea je njegovo oslanjanje na DNS tuneliranje za komunikaciju sa C&C serverom, sa kodom baziranim na open-source alatu dnscat2 .

“Prima komande izvršavanjem razlučivanja imena”, napominje Symantec. “Msupedge ne samo da prima komande preko DNS saobraćaja, već takođe koristi riješenu IP adresu C&C servera (ctl.msedeapi[.]net) kao komandu.”

Konkretno, treći oktet razriješene IP adrese funkcioniše kao slučaj prekidača koji određuje ponašanje backdoor-a oduzimanjem sedam od njega i korištenjem njegove heksadecimalne notacije za pokretanje odgovarajućih odgovora. Na primjer, ako je treći oktet 145, novoizvedena vrijednost se prevodi u 138 (0x8a).

Komande koje podržava Msupedge navedene su ispod –

Razvoj dolazi kada je grupa prijetnji UTG-Q-010 povezana s novom phishing kampanjom koja koristi mamce vezane za kriptovalute i posao za distribuciju zlonamjernog softvera otvorenog koda pod nazivom Pupy RAT .

“Lanac napada uključuje korištenje zlonamjernih .lnk datoteka s ugrađenim DLL učitavačem, koji završava u Pupy RAT primjeni korisnog opterećenja,” kaže Symantec . “Pupy je trojanac za daljinski pristup baziran na Pythonu (RAT) s funkcionalnošću za reflektivno učitavanje DLL-a i izvršavanje u memoriji, između ostalog.”

Izvor: TheHackerNews

Exit mobile version