Новости Msupedge: неизвестный бэкдор скрывается в обычном DNS-трафике

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Новое вредоносное ПО использует нестандартный метод коммуникации.


fmna2yh46ie6d6s2ejt0bcd820g24qhz.jpg


В результате кибератаки на один из университетов Тайваня была выявлена ранее неизвестная вредоносная программа, которая получила условное название Backdoor.Msupedge. Программа отличается уникальным методом связи с C2-сервером через DNS-трафик. Специалисты Symantec Для просмотра ссылки Войди или Зарегистрируйся о своей находке.

Backdoor.Msupedge представляет собой бэкдор, выполненный в виде динамической библиотеки (DLL). Эксперты обнаружили вредоносное ПО в двух различных директориях на атакованной системе: в каталоге, используемом Apache, и в системной папке, где DLL обычно связывается с WMI (Windows Management Instrumentation). Основная задача программы — получение команд от злоумышленников через процесс разрешения доменных имен.

Для коммуникации с сервером управления Backdoor.Msupedge использует метод DNS-туннелирования, основанный на общедоступном инструменте Для просмотра ссылки Войди или Зарегистрируйся который позволяет атакующим передавать команды посредством разрешения доменных имен. Например, при разрешении определённого доменного имени, программа получает IP-адрес сервера управления, который используется для выполнения команд на зараженной системе.

Программа поддерживает множество различных команд, включая создание процессов, загрузку файлов, временную приостановку работы и создание временных файлов. При этом выполнение каждой команды сопровождается обратной связью, которая включает информацию о выделении памяти, декомпрессии и успешности выполнения задач. Эти данные передаются злоумышленникам также через DNS-запросы, что позволяет скрыть активность вредоносной программы.

Особое внимание заслуживает механизм изменения поведения программы в зависимости от значений отдельных октетов ( Octet ) IP-адреса, который возвращается при разрешении доменного имени. Например, один из возможных сценариев — использование третьего октета адреса, который после определённых математических операций определяет, какую именно команду выполнит бэкдор.

Предполагается, что начальная фаза заражения была осуществлена с помощью эксплуатации недавно обнаруженной уязвимости в PHP Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 9.8). RCE -недостаток возник из-за ошибки в обработке аргументов CGI на системах Windows. Ошибка в первую очередь затрагивает Windows на китайском и японском языках. Несмотря на то, что уязвимость была недавно устранена, многие системы остаются под угрозой, и в последние недели было зафиксировано Для просмотра ссылки Войди или Зарегистрируйся эксплуатации.

Пока что исследователям не удалось установить, кто стоит за атакой, а также неясны мотивы злоумышленников. Тем не менее, использование такой сложной техники коммуникации и скрытности указывает на высокую квалификацию разработчиков Backdoor.Msupedge, что делает угрозу особенно опасной. Эксперты призывают владельцев уязвимых систем немедленно обновить программное обеспечение и обратить особое внимание на необычный DNS-трафик, который может свидетельствовать о наличии угрозы.

C ноября 2023 по апрель 2024 года исследователями Insikt Group Для просмотра ссылки Войди или Зарегистрируйся кибершпионская кампания, направленная на государственные, академические, технологические и дипломатические организации Тайваня. По данным специалистов, за этими атаками стоит кибергруппа RedJuliett, предположительно связанная с Китаем и действующая из города Фучжоу.
 
Источник новости
www.securitylab.ru

Похожие темы