专家们发现了一个以前未被发现的后门,被称为Msupedge,它被用于攻击台湾的一所大学。
博通赛门铁克的研究人员发现了一个以前未被发现的后门,称为Msupedge,该后门被用于针对台湾一所未命名大学的攻击。
后门最显着的特点是它依赖于 DNS 隧道与 C2 服务器进行通信。
“Msupedge是动态链接库(DLL)形式的后门,”赛门铁克发布的报告写道。“已发现它已安装在以下文件路径中:
- csidl_drive_fixed\xampp\wuplog.dll
- csidl_system\wbem\wmiclnt.dll
虽然 wuplog.dll 是由 Apache (httpd.exe) 加载的,但 wmiclnt.dll 的父进程是未知的。
Msupedge 用于 DNS 隧道工具的代码基于公开可用的 dnscat2 工具。
后门程序通过解析特殊结构的主机名来接收和执行命令。这些命令的结果被编码并作为第五级域发送回。此外,后门程序将 C&C 服务器的已解析 IP 地址的第三个八位字节解释为命令开关,并根据此值调整其行为。内存分配、命令解压缩和执行的错误通知也通过此方法发送。
观察到威胁行为者利用 PHP 中的一个严重漏洞(跟踪为 CVE-2024-4577(CVSS 评分为 9.8))来部署 Msupedge 后门。攻击者利用此缺陷实现远程代码执行并获得对目标网络的初始访问权限。
后门支持以下命令:
- 案例 0x8a : 创建流程。该命令通过 DNS TXT 记录接收。
- 案例 0x75 : 下载文件。下载 URL 是通过 DNS TXT 记录接收的。
- 情况 0x24 : 睡眠 (ip_4 * 86400 * 1000 ms)。
- 情况 0x66 : 睡眠 (ip_4 * 3600 * 1000 ms)。
- 案例 0x38 : 创建 %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。此文件的用途未知。
- 案例 0x3c:删除 %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。
赛门铁克没有将攻击归咎于特定的威胁行为者,并且尚未确定攻击背后的动机。
“最近几周,赛门铁克已经看到多个威胁行为者扫描易受攻击的系统。迄今为止,我们没有发现任何证据可以让我们将这种威胁归咎于此威胁,攻击背后的动机仍然未知,“包括妥协指标的报告总结道。
发表评论
您还未登录,请先登录。
登录