Um backdoor anteriormente não documentado chamado Msupedge foi usado contra um ataque cibernético direcionado a uma universidade não identificada em Taiwan.
“O recurso mais notável desse backdoor é que ele se comunica com um servidor de comando e controle (C&C) por meio de tráfego DNS”, disse a Symantec Risk Hunter Workforce, parte da Broadcom, em um relatório compartilhado com o The Hacker Information.
As origens do backdoor são atualmente desconhecidas, assim como os objetivos por trás do ataque.
Diz-se que o vetor de acesso inicial que provavelmente facilitou a implantação do Msupedge envolveu a exploração de uma falha crítica recentemente divulgada que afeta o PHP (CVE-2024-4577, pontuação CVSS: 9,8), que poderia ser usada para obter execução remota de código.
O backdoor em questão é uma biblioteca de vínculo dinâmico (DLL) que é instalada nos caminhos “csidl_drive_fixedxampp” e “csidl_systemwbem”. Uma das DLLs, wuplog.dll, é iniciada pelo servidor HTTP Apache (httpd). O processo pai para a segunda DLL não está claro.
O aspecto mais notável do Msupedge é sua dependência do tunelamento DNS para comunicação com o servidor C&C, com código baseado na ferramenta dnscat2 de código aberto.
“Ele recebe comandos executando resolução de nome”, observou a Symantec. “O Msupedge não só recebe comandos through tráfego DNS, mas também usa o endereço IP resolvido do servidor C&C (ctl.msedeapi(.)web) como um comando.”
Especificamente, o terceiro octeto do endereço IP resolvido funciona como um caso de change que determina o comportamento do backdoor subtraindo sete dele e usando sua notação hexadecimal para disparar respostas apropriadas. Por exemplo, se o terceiro octeto for 145, o valor recém-derivado se traduz em 138 (0x8a).
Os comandos suportados pelo Msupedge estão listados abaixo –
- 0x8a: Crie um processo usando um comando recebido por meio de um registro DNS TXT
- 0x75: Baixar arquivo usando uma URL de obtain recebida por meio de um registro DNS TXT
- 0x24: Dormir por um intervalo de tempo predeterminado
- 0x66: Dormir por um intervalo de tempo predeterminado
- 0x38: Crie um arquivo temporário “%temppercent1e5bf625-1678-zzcv-90b1-199aa47c345.tmp” cuja finalidade é desconhecida
- 0x3c: Exclua o arquivo “%temppercent1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”
O desenvolvimento ocorre no momento em que o grupo de ameaças UTG-Q-010 foi vinculado a uma nova campanha de phishing que utiliza criptomoedas e iscas relacionadas a empregos para distribuir um malware de código aberto chamado Pupy RAT.
“A cadeia de ataque envolve o uso de arquivos .lnk maliciosos com um carregador DLL incorporado, terminando na implantação de payload Pupy RAT”, disse a Symantec. “Pupy é um Trojan de acesso remoto (RAT) baseado em Python com funcionalidade para carregamento reflexivo de DLL e execução na memória, entre outros.”
