黑客利用PHP 漏洞部署隐秘的Msupedge 后门
一种先前没有记录的名为Msupedge 的后门已被用于对付针对台湾某所未具名大学的网络攻击。
一种先前没有记录的名为Msupedge 的后门已被用于对付针对台湾某所未具名大学的网络攻击。
博通旗下的赛门铁克威胁猎人团队在一份报告中表示,该后门最显著的特点是它通过DNS 流量与命令和控制 (C&C) 服务器进行通信。
目前尚不清楚该后门的来源以及攻击背后的目的。
据说可能促成Msupedge 部署的初始访问向量涉及利用最近披露的PHP 关键漏洞 (CVE-2024-4577,CVSS 评分:9.8),该漏洞可用于实现远程代码执行。
有问题的后门是一个动态链接库 (DLL),安装在路径“csidl_drive_fixed\xampp\”和“csidl_system\wbem\”中。其中一个 DLL,wuplog.dll,由Apache HTTP 服务器 (httpd) 启动。第二个 DLL 的父进程尚不清楚。
Msupedge 最值得注意的方面是它依赖DNS 隧道与C&C 服务器通信,其代码基于开源dnscat2工具。
赛门铁克指出:“它通过执行名称解析来接收命令。Msupedge 不仅通过DNS 流量接收命令,还将C&C服务器 (ctl.msedeapi[.]net) 的解析IP 地址用作命令。”
具体来说,解析后的IP 地址的第三个八位字节用作switch case,通过从中减去七并使用其十六进制表示法来触发适当的响应,从而确定后门的行为。例如,如果第三个八位字节是 145,则新派生的值将转换为138 (0x8a)。
Msupedge 支持的命令如下:
0x8a:使用通过DNS TXT 记录收到的命令创建进程
0x75:使用通过DNS TXT 记录收到的下载 URL 下载文件
0x24:休眠预定的时间间隔
0x66:休眠预定的时间间隔
0x38:创建一个临时文件“%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”,其用途未知
0x3c:删除文件“%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”
UTG-Q-010 威胁组织被发现与一项新的网络钓鱼活动有关,该活动利用与加密货币和工作相关的诱饵来分发一种名为Pupy RAT 的开源恶意软件。
赛门铁克表示:“攻击链涉及使用带有嵌入式 DLL 加载器的恶意.lnk 文件,最终导致 Pupy RAT 负载部署。Pupy 是一种基于Python 的远程访问木马 (RAT),具有反射DLL 加载和内存执行等功能。”
博通旗下的赛门铁克威胁猎人团队在一份报告中表示,该后门最显著的特点是它通过DNS 流量与命令和控制 (C&C) 服务器进行通信。
目前尚不清楚该后门的来源以及攻击背后的目的。
据说可能促成Msupedge 部署的初始访问向量涉及利用最近披露的PHP 关键漏洞 (CVE-2024-4577,CVSS 评分:9.8),该漏洞可用于实现远程代码执行。
有问题的后门是一个动态链接库 (DLL),安装在路径“csidl_drive_fixed\xampp\”和“csidl_system\wbem\”中。其中一个 DLL,wuplog.dll,由Apache HTTP 服务器 (httpd) 启动。第二个 DLL 的父进程尚不清楚。
Msupedge 最值得注意的方面是它依赖DNS 隧道与C&C 服务器通信,其代码基于开源dnscat2工具。
赛门铁克指出:“它通过执行名称解析来接收命令。Msupedge 不仅通过DNS 流量接收命令,还将C&C服务器 (ctl.msedeapi[.]net) 的解析IP 地址用作命令。”
具体来说,解析后的IP 地址的第三个八位字节用作switch case,通过从中减去七并使用其十六进制表示法来触发适当的响应,从而确定后门的行为。例如,如果第三个八位字节是 145,则新派生的值将转换为138 (0x8a)。
Msupedge 支持的命令如下:
0x8a:使用通过DNS TXT 记录收到的命令创建进程
0x75:使用通过DNS TXT 记录收到的下载 URL 下载文件
0x24:休眠预定的时间间隔
0x66:休眠预定的时间间隔
0x38:创建一个临时文件“%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”,其用途未知
0x3c:删除文件“%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”
UTG-Q-010 威胁组织被发现与一项新的网络钓鱼活动有关,该活动利用与加密货币和工作相关的诱饵来分发一种名为Pupy RAT 的开源恶意软件。
赛门铁克表示:“攻击链涉及使用带有嵌入式 DLL 加载器的恶意.lnk 文件,最终导致 Pupy RAT 负载部署。Pupy 是一种基于Python 的远程访问木马 (RAT),具有反射DLL 加载和内存执行等功能。”
评论0次