Исследователи из команды Threat Hunter Team компании Symantec обнаружили новый бэкдор Backdoor.Msupedge, использовавшийся в атаке на университет в Тайване.
Msupedge Backdoor
По мнению Symantec, этот бэкдор выделяется тем, что использует DNS-трафик для связи с командно-контрольным сервером (C&C), что не так часто встречается.
Msupedge - это бэкдор с динамической библиотекой ссылок (DLL), найденный в определенных путях к файлам и использующий DNS-туннелирование для связи с C&C-сервером, основанное на общедоступном инструменте dnscat2. Он получает и выполняет команды через DNS-трафик, а перед отправкой кодирует результат в виде домена пятого уровня.
Бэкдор также меняет свое поведение в зависимости от разрешенного IP-адреса C&C-сервера. Первоначальное вторжение, скорее всего, произошло через использование недавно исправленной уязвимости PHP (CVE-2024-4577), которая может привести к удаленному выполнению кода на системах Windows. Несмотря на то, что многочисленные злоумышленники сканировали уязвимые системы, мотив атаки остается неизвестным, и никакие доказательства не позволили установить авторство угрозы.
Indicators of Compromise
SHA256
- a89ebe7d1af3513d146a831b6fa4a465c8edeafea5d7980eb5448a94a4e34480
- e08dc1c3987d17451a3e86c04ed322a9424582e2f2cb6352c892b7e0645eda43
- f5937d38353ed431dc8a5eb32c119ab575114a10c24567f0c864cb2ef47f9f36
