Neue Bedrohung durch Msupedge Backdoor: Angriff auf Universität in Taiwan entdeckt

Geschäftsinhaber aufgepasst: Hackers Exploit PHP Vulnerability to Deploy Stealthy Msupedge Backdoor

Ein bisher unentdecktes Hintertür-Programm namens Msupedge wurde bei einem Cyberangriff auf eine nicht näher genannte Universität in Taiwan eingesetzt.

“Das bemerkenswerteste Merkmal dieser Hintertür ist, dass sie über DNS-Verkehr mit einem Command-and-Control-Server kommuniziert”, berichtete das Symantec Threat Hunter Team, eine Abteilung von Broadcom, in einem Bericht, der The Hacker News vorliegt.

Der Ursprung der Hintertür ist derzeit unbekannt, ebenso wie die Ziele hinter dem Angriff.

Der initiale Zugriffsvektor, der wahrscheinlich die Bereitstellung von Msupedge ermöglichte, soll die Ausnutzung einer kürzlich bekannt gewordenen kritischen Schwachstelle in PHP (CVE-2024-4577, CVSS-Score: 9.8) sein, die zur Ausführung von Remote-Code genutzt werden kann.

Die besagte Hintertür ist eine dynamische Link-Bibliothek (DLL), die in den Pfaden “csidl_drive_fixed\xampp\” und “csidl_system\wbem\” installiert ist. Eine der DLLs, wuplog.dll, wird vom Apache HTTP-Server (httpd) gestartet. Der übergeordnete Prozess für die zweite DLL ist unklar.

Das bemerkenswerteste Merkmal von Msupedge ist seine Abhängigkeit von DNS-Tunneling zur Kommunikation mit dem C&C-Server, wobei der Code auf dem Open-Source-Tool dnscat2 basiert.

“Es empfängt Befehle durch Namensauflösung”, so Symantec. “Msupedge empfängt nicht nur Befehle über DNS-Verkehr, sondern verwendet auch die aufgelöste IP-Adresse des C&C-Servers (ctl.msedeapi[.]net) als Befehl.”

Speziell fungiert das dritte Oktett der aufgelösten IP-Adresse als Schalter, der das Verhalten der Hintertür bestimmt, indem sieben subtrahiert und ihre hexadezimale Notation verwendet wird, um entsprechende Reaktionen auszulösen. Wenn das dritte Oktett beispielsweise 145 ist, ergibt der neu abgeleitete Wert 138 (0x8a).

Die von Msupedge unterstützten Befehle sind unten aufgeführt:

0x8a: Prozess mittels eines über einen DNS-TXT-Eintrag erhaltenen Befehls erstellen

0x75: Datei über eine Download-URL herunterladen, die über einen DNS-TXT-Eintrag erhalten wurde

0x24: Für einen festgelegten Zeitraum in den Schlafmodus versetzen

0x66: Für einen festgelegten Zeitraum in den Schlafmodus versetzen

0x38: Eine temporäre Datei “%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp” erstellen, deren Zweck unbekannt ist

0x3c: Die Datei “%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp” löschen

Diese Entwicklung erfolgt, während die Bedrohungsgruppe UTG-Q-010 mit einer neuen Phishing-Kampagne in Verbindung gebracht wurde, die Kryptowährungs- und Job-relevante Köder nutzt, um eine Open-Source-Malware namens Pupy RAT zu verbreiten.

“Die Angriffskette beinhaltet die Verwendung von bösartigen .lnk-Dateien mit einem eingebetteten DLL-Lader, der in der Bereitstellung des Pupy RAT-Payloads endet”, so Symantec. “Pupy ist ein auf Python basierender Remote Access Trojan (RAT) mit Funktionen für reflektierendes DLL-Laden und In-Memory-Ausführung, unter anderem.”

Quelle: https://ift.tt/NT2fn4l

Für weitere Informationen folgen Sie uns auf Twitter und LinkedIn, um mehr exklusive Inhalte zu lesen, die wir veröffentlichen.

Trending Posts

Über uns

MyCubeServer – Ihr vertrauenswürdiger Partner für fortschrittliche Cloud-Lösungen. Wir bieten maßgeschneiderte IT-Services und Datenschutz, damit Sie sich auf Ihr Kerngeschäft konzentrieren können.”

“Bei MyCubeServer steht Innovation im Mittelpunkt. Unsere Expertise in Cloud-Technologie und Cybersicherheit macht uns zum perfekten Begleiter für Ihre digitale Transformation.”

“MyCubeServer – Wir gestalten die Zukunft Ihrer IT-Landschaft. Verlassen Sie sich auf unsere Erfahrung und modernste Lösungen für Ihre Unternehmensanforderungen.

Folge uns

-Weg von alten Schubladen-

Deine Chance -

Angesagtes

Newsletter

Kategorien

Edit Template

Produkte & Lösungen

SkySphere Cloud
SkySphere Connect
CubeSecurity
Support & Services

© 2023 MyCubeServer. Alle Rechte vorbehalten.
Datenschutzrichtlinien | AGB´sNutzungsbedingungen | Impressum