前所未见的Msupedge后门目标为台湾大学

admin 2024年8月21日16:50:14评论31 views字数 945阅读3分9秒阅读模式

前所未见的Msupedge后门目标为台湾大学

Broadcom Symantec研究人员发现了一种前所未见的后门病毒,称为Msupedge,它被用于攻击台湾某所大学。后门病毒的最明显特征是,它依靠DNS隧道来与C2服务器通信。

Symantec发布的报告称,Msupedge是一种DLL形式的后门病毒。报告指出,Msupedge已被发现安装在以下文件路径中:csidl_drive_fixedxamppwuplog.dll、csidl_systemwbemwmiclnt.dll。其中,wuplog.dll被Apache(httpd.exe)加载,而wmiclnt.dll的父进程未知。

Msupedge使用dnscat2工具的公开代码来实现DNS隧道。后门病毒通过解析特别结构化的主机名来接收和执行命令。这些命令的结果被编码并以第五级域名发送回去。此外,后门病毒还会根据C&C服务器的IP地址的第三个octet来解释命令参数,并根据这个值来调整其行为。错误通知,包括内存分配、命令解压缩和执行错误,也会通过这个方法发送。

攻击者被观察到利用PHP中一个严重漏洞(CVE-2024-4577,CVSS评分为9.8)来部署Msupedge后门病毒。攻击者通过这个漏洞实现远程代码执行,并获取目标网络的初始访问权限。

  • Msupedge后门病毒支持以下命令:

  • 0x8a:创建进程。命令通过DNS TXT记录接收。

  • 0x75:下载文件。下载 URL通过DNS TXT记录接收。

  • 0x24:睡眠(ip_4 * 86400 * 1000 ms)。

  • 0x66:睡眠(ip_4 * 3600 * 1000 ms)。

  • 0x38:创建%temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。该文件的目的是未知。

  • 0x3c:删除%temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。

Symantec没有将攻击归因于特定的威胁actor,并尚未确定攻击的动机。报告结论:“Symantec近期已见到多个威胁actor扫描易受攻击的系统。迄今,我们尚未发现任何证据可以归因于该威胁,攻击的动机仍未知”。报告还包括Indicators of Compromise。

原文始发于微信公众号(黑猫安全):前所未见的Msupedge后门目标为台湾大学

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月21日16:50:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   前所未见的Msupedge后门目标为台湾大学http://cn-sec.com/archives/3083944.html

发表评论

匿名网友 填写信息