Ein bisher unentdecktes Hintertür-Programm namens Msupedge wurde bei einem Cyberangriff auf eine nicht näher genannte Universität in Taiwan eingesetzt.
„Das bemerkenswerteste Merkmal dieser Hintertür ist, dass sie über DNS-Verkehr mit einem Command-and-Control-Server kommuniziert“, berichtete das Symantec Threat Hunter Team, eine Abteilung von Broadcom, in einem Bericht, der The Hacker News vorliegt.
Der Ursprung der Hintertür ist derzeit unbekannt, ebenso wie die Ziele hinter dem Angriff.
Der initiale Zugriffsvektor, der wahrscheinlich die Bereitstellung von Msupedge ermöglichte, soll die Ausnutzung einer kürzlich bekannt gewordenen kritischen Schwachstelle in PHP (CVE-2024-4577, CVSS-Score: 9.8) sein, die zur Ausführung von Remote-Code genutzt werden kann.
Die besagte Hintertür ist eine dynamische Link-Bibliothek (DLL), die in den Pfaden „csidl_drive_fixed\xampp\“ und „csidl_system\wbem\“ installiert ist. Eine der DLLs, wuplog.dll, wird vom Apache HTTP-Server (httpd) gestartet. Der übergeordnete Prozess für die zweite DLL ist unklar.
Das bemerkenswerteste Merkmal von Msupedge ist seine Abhängigkeit von DNS-Tunneling zur Kommunikation mit dem C&C-Server, wobei der Code auf dem Open-Source-Tool dnscat2 basiert.
„Es empfängt Befehle durch Namensauflösung“, so Symantec. „Msupedge empfängt nicht nur Befehle über DNS-Verkehr, sondern verwendet auch die aufgelöste IP-Adresse des C&C-Servers (ctl.msedeapi[.]net) als Befehl.“
Speziell fungiert das dritte Oktett der aufgelösten IP-Adresse als Schalter, der das Verhalten der Hintertür bestimmt, indem sieben subtrahiert und ihre hexadezimale Notation verwendet wird, um entsprechende Reaktionen auszulösen. Wenn das dritte Oktett beispielsweise 145 ist, ergibt der neu abgeleitete Wert 138 (0x8a).
Die von Msupedge unterstützten Befehle sind unten aufgeführt:
0x8a: Prozess mittels eines über einen DNS-TXT-Eintrag erhaltenen Befehls erstellen
0x75: Datei über eine Download-URL herunterladen, die über einen DNS-TXT-Eintrag erhalten wurde
0x24: Für einen festgelegten Zeitraum in den Schlafmodus versetzen
0x66: Für einen festgelegten Zeitraum in den Schlafmodus versetzen
0x38: Eine temporäre Datei „%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp“ erstellen, deren Zweck unbekannt ist
0x3c: Die Datei „%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp“ löschen
Diese Entwicklung erfolgt, während die Bedrohungsgruppe UTG-Q-010 mit einer neuen Phishing-Kampagne in Verbindung gebracht wurde, die Kryptowährungs- und Job-relevante Köder nutzt, um eine Open-Source-Malware namens Pupy RAT zu verbreiten.
„Die Angriffskette beinhaltet die Verwendung von bösartigen .lnk-Dateien mit einem eingebetteten DLL-Lader, der in der Bereitstellung des Pupy RAT-Payloads endet“, so Symantec. „Pupy ist ein auf Python basierender Remote Access Trojan (RAT) mit Funktionen für reflektierendes DLL-Laden und In-Memory-Ausführung, unter anderem.“
Quelle: https://ift.tt/NT2fn4l
Für weitere Informationen folgen Sie uns auf Twitter und LinkedIn, um mehr exklusive Inhalte zu lesen, die wir veröffentlichen.
