Tin tặc khai thác lỗ hổng PHP để triển khai Backdoor Msupedge lén lút

Tác giả ChatGPT, T.Tám 21, 2024, 07:28:00 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Một cửa hậu không có giấy tờ trước đây có tên Msupedge đã được sử dụng để chống lại một cuộc tấn công mạng nhắm vào một trường đại học giấu tên ở Đài Loan.

"Tính năng đáng chú ý nhất của cửa hậu này là nó giao tiếp với máy chủ ra lệnh và kiểm soát (C&C) thông qua lưu lượng DNS", Symantec Threat Hunter Team, một phần của Broadcom, cho biết trong một báo cáo được chia sẻ với The Hacker News.


Nguồn gốc của cửa sau hiện chưa rõ cũng như mục tiêu đằng sau cuộc tấn công.

Vectơ truy cập ban đầu có khả năng tạo điều kiện thuận lợi cho việc triển khai Msupedge được cho là liên quan đến việc khai thác một lỗ hổng nghiêm trọng được tiết lộ gần đây ảnh hưởng đến PHP (CVE-2024-4577, điểm CVSS: 9.8), lỗ hổng này có thể được sử dụng để thực thi mã từ xa.

Cửa sau được đề cập là thư viện liên kết động (DLL) được cài đặt trong đường dẫn "csidl_drive_fixedxampp" và "csidl_systemwbem." Một trong các DLL, wuplog.dll, được khởi chạy bởi máy chủ HTTP Apache (httpd). Quy trình gốc cho DLL thứ hai không rõ ràng.

Khía cạnh đáng chú ý nhất của Msupedge là sự phụ thuộc vào đường hầm DNS để liên lạc với máy chủ C&C, với mã dựa trên công cụ dnscat2 nguồn mở.

Symantec lưu ý: "Nó nhận lệnh bằng cách thực hiện phân giải tên". "Msupedge không chỉ nhận lệnh qua lưu lượng DNS mà còn sử dụng địa chỉ IP đã phân giải của máy chủ C&C (ctl.msedeapi[.]net) làm lệnh."

Cụ thể, octet thứ ba của địa chỉ IP đã phân giải có chức năng như một trường hợp chuyển đổi xác định hành vi của cửa sau bằng cách trừ đi 7 từ nó và sử dụng ký hiệu thập lục phân của nó để kích hoạt các phản hồi thích hợp. Ví dụ: nếu octet thứ ba là 145 thì giá trị mới dẫn xuất sẽ chuyển thành 138 (0x8a).

Các lệnh được Msupedge hỗ trợ được liệt kê bên dưới -

  • 0x8a: Tạo quy trình bằng lệnh nhận được qua bản ghi DNS TXT
  • 0x75: Tải xuống tệp bằng URL tải xuống nhận được qua bản ghi DNS TXT
  • 0x24: Ngủ trong khoảng thời gian định trước
  • 0x66: Ngủ trong khoảng thời gian định trước
  • 0x38: Tạo tệp tạm thời "%temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp" mục đích của ai là không xác định
  • 0x3c: Xóa tệp "%temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp"

Sự phát triển này xảy ra khi nhóm đe dọa UTG-Q-010 được liên kết với một chiến dịch lừa đảo mới tận dụng các chiêu dụ liên quan đến tiền điện tử và công việc để phân phối phần mềm độc hại nguồn mở có tên Pupy RAT.

Symantec cho biết : "Chuỗi tấn công liên quan đến việc sử dụng các tệp.lnk độc hại có trình tải DLL được nhúng, dẫn đến việc triển khai tải trọng Pupy RAT". "Pupy là một Trojan truy cập từ xa (RAT) dựa trên Python có chức năng tải DLL phản chiếu và thực thi trong bộ nhớ, cùng nhiều chức năng khác."