一大学遭遇 Msupedge 后门攻击

Broadcom Symantec的研究人员发现了一个以前未被发现的后门,称为Msupedge,它被用于攻击中国台湾一所未命名的大学。

该后门最显着的特点是它依赖于 DNS 隧道与 C2 服务器进行通信。

apiu8-wuhco

“Msupedge是动态链接库(DLL)形式的后门,”Broadcom Symantec发布的报告写道。“已发现它已安装在以下文件路径中:

  • csidl_drive_fixed\xampp\wuplog.dll
  • csidl_system\wbem\wmiclnt.dll

虽然 wuplog.dll 是由 Apache (httpd.exe) 加载的,但 wmiclnt.dll 的父进程未知。”

Msupedge 使用的 DNS 隧道工具代码基于公开的 dnscat2 工具。

该后门通过解析特殊结构的主机名来接收和执行命令。这些命令的结果会被编码并以第五级域名的形式返回。此外,该后门还将解析到的 C&C 服务器的 IP 地址的第三个八位字节解释为命令开关,并根据该值调整其行为。内存分配、命令解压和执行的错误通知也通过这种方式发送。

威胁行为者被发现利用一个关键的 PHP 漏洞(追踪编号为 CVE-2024-4577,CVSS 评分为 9.8))来部署 Msupedge 后门。攻击者利用这一缺陷实现了远程代码执行,并获得了对目标网络的初步访问。

后门支持以下命令:

  • 案例 0x8a : 创建流程。该命令通过 DNS TXT 记录接收。
  • 案例 0x75 : 下载文件。下载 URL 通过 DNS TXT 记录接收。
  • 情况 0x24 : 休眠 (ip_4 * 86400 * 1000 ms)。
  • 情况 0x66 : 休眠 (ip_4 * 3600 * 1000 ms)。
  • 案例 0x38 : 创建 %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。此文件的用途未知。
  • 案例 0x3c:删除 %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。

Symantec没有将攻击归咎于特定的威胁行为者,也未能确定攻击的动机。

“最近几周,Symantec观察到多个威胁行为者在扫描易受攻击的系统。迄今为止,我们尚未找到任何证据能够将此次威胁归因于特定的行为者,攻击动机仍然未知。”报告总结道,“报告中还包括了妥协指标(Indicators of Compromise)。”

消息来源:securityaffairs,译者:YY;  

本文由 HackerNews.cc 翻译整理,封面来源于网络;  

转载请注明“转自 HackerNews.cc”并附上原文

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞9 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容