Broadcom Symantec的研究人员发现了一个以前未被发现的后门,称为Msupedge,它被用于攻击中国台湾一所未命名的大学。
该后门最显着的特点是它依赖于 DNS 隧道与 C2 服务器进行通信。
“Msupedge是动态链接库(DLL)形式的后门,”Broadcom Symantec发布的报告写道。“已发现它已安装在以下文件路径中:
- csidl_drive_fixed\xampp\wuplog.dll
- csidl_system\wbem\wmiclnt.dll
虽然 wuplog.dll 是由 Apache (httpd.exe) 加载的,但 wmiclnt.dll 的父进程未知。”
Msupedge 使用的 DNS 隧道工具代码基于公开的 dnscat2 工具。
该后门通过解析特殊结构的主机名来接收和执行命令。这些命令的结果会被编码并以第五级域名的形式返回。此外,该后门还将解析到的 C&C 服务器的 IP 地址的第三个八位字节解释为命令开关,并根据该值调整其行为。内存分配、命令解压和执行的错误通知也通过这种方式发送。
威胁行为者被发现利用一个关键的 PHP 漏洞(追踪编号为 CVE-2024-4577,CVSS 评分为 9.8))来部署 Msupedge 后门。攻击者利用这一缺陷实现了远程代码执行,并获得了对目标网络的初步访问。
后门支持以下命令:
- 案例 0x8a : 创建流程。该命令通过 DNS TXT 记录接收。
- 案例 0x75 : 下载文件。下载 URL 通过 DNS TXT 记录接收。
- 情况 0x24 : 休眠 (ip_4 * 86400 * 1000 ms)。
- 情况 0x66 : 休眠 (ip_4 * 3600 * 1000 ms)。
- 案例 0x38 : 创建 %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。此文件的用途未知。
- 案例 0x3c:删除 %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。
Symantec没有将攻击归咎于特定的威胁行为者,也未能确定攻击的动机。
“最近几周,Symantec观察到多个威胁行为者在扫描易受攻击的系统。迄今为止,我们尚未找到任何证据能够将此次威胁归因于特定的行为者,攻击动机仍然未知。”报告总结道,“报告中还包括了妥协指标(Indicators of Compromise)。”
消息来源:securityaffairs,译者:YY;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
暂无评论内容