Broadcom Symantec研究人员发现了一种前所未见的后门病毒,称为Msupedge,它被用于攻击台湾某所大学。后门病毒的最明显特征是,它依靠DNS隧道来与C2服务器通信。
Symantec发布的报告称,Msupedge是一种DLL形式的后门病毒。报告指出,Msupedge已被发现安装在以下文件路径中:csidl_drive_fixedxamppwuplog.dll、csidl_systemwbemwmiclnt.dll。其中,wuplog.dll被Apache(httpd.exe)加载,而wmiclnt.dll的父进程未知。
Msupedge使用dnscat2工具的公开代码来实现DNS隧道。后门病毒通过解析特别结构化的主机名来接收和执行命令。这些命令的结果被编码并以第五级域名发送回去。此外,后门病毒还会根据C&C服务器的IP地址的第三个octet来解释命令参数,并根据这个值来调整其行为。错误通知,包括内存分配、命令解压缩和执行错误,也会通过这个方法发送。
攻击者被观察到利用PHP中一个严重漏洞(CVE-2024-4577,CVSS评分为9.8)来部署Msupedge后门病毒。攻击者通过这个漏洞实现远程代码执行,并获取目标网络的初始访问权限。
-
Msupedge后门病毒支持以下命令:
-
0x8a:创建进程。命令通过DNS TXT记录接收。
-
0x75:下载文件。下载 URL通过DNS TXT记录接收。
-
0x24:睡眠(ip_4 * 86400 * 1000 ms)。
-
0x66:睡眠(ip_4 * 3600 * 1000 ms)。
-
0x38:创建%temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。该文件的目的是未知。
-
0x3c:删除%temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。
Symantec没有将攻击归因于特定的威胁actor,并尚未确定攻击的动机。报告结论:“Symantec近期已见到多个威胁actor扫描易受攻击的系统。迄今,我们尚未发现任何证据可以归因于该威胁,攻击的动机仍未知”。报告还包括Indicators of Compromise。
原文始发于微信公众号(黑猫安全):前所未见的Msupedge后门目标为台湾大学
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论