一个名为 Msupedge 的以前未记录的后门已被用于对抗针对台湾一所未命名大学的网络攻击。
“这个后门最显着的特点是它通过DNS流量与命令和控制(C&C)服务器进行通信,”博通旗下的赛门铁克威胁猎人团队在与The Hacker News分享的一份报告中表示。
后门的起源目前尚不清楚,攻击背后的目标也尚不清楚。
据说可能有助于部署 Msupedge 的初始访问向量涉及利用最近披露的影响 PHP 的严重漏洞(CVE-2024-4577,CVSS 评分:9.8),该漏洞可用于实现远程代码执行。
有问题的后门是一个动态链接库 (DLL),它安装在路径“csidl_drive_fixed\xampp\”和“csidl_system\wbem\”中。其中一个 DLL wuplog.dll由 Apache HTTP 服务器 (httpd) 启动。第二个 DLL 的父进程不清楚。
Msupedge最值得注意的方面是它依赖于DNS隧道与C&C服务器进行通信,其代码基于开源dnscat2工具。
“它通过执行名称解析来接收命令,”赛门铁克指出。“Msupedge不仅通过DNS流量接收命令,而且还使用C&C服务器的解析IP地址(ctl.msedeapi[.]net)作为命令。
具体来说,解析的 IP 地址的第三个八位字节用作开关大小写法,通过从后门中减去 7 并使用其十六进制表示法来触发适当的响应来确定后门的行为。例如,如果第三个八位字节为 145,则新派生的值将转换为 138 (0x8a)。
下面列出了 Msupedge 支持的命令 –
- 0x8a:使用通过 DNS TXT 记录接收的命令创建进程
- 0x75:使用通过 DNS TXT 记录接收的下载 URL 下载文件
- 0x24:在预定的时间间隔内睡觉
- 0x66:在预定的时间间隔内睡觉
- 0x38:创建一个用途未知的临时文件“%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”
- 0x3c:删除文件“%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”
这一发展是因为 UTG-Q-010 威胁组织与一个新的网络钓鱼活动有关,该活动利用加密货币和工作相关的诱饵来分发一种名为 Pupy RAT 的开源恶意软件。
赛门铁克表示:“攻击链涉及使用带有嵌入式DLL加载器的恶意.lnk文件,最终导致Pupy RAT有效载荷部署。“Pupy 是一种基于 Python 的远程访问木马 (RAT),具有反射 DLL 加载和内存中执行等功能。”
发表评论
您还未登录,请先登录。
登录