Tayvan’daki ismi açıklanmayan bir üniversiteyi hedef alan siber saldırıya karşı Msupedge isimli daha önce belgelenmemiş bir arka kapı kullanıldı.
Broadcom’un bir parçası olan Symantec Threat Hunter Ekibi, “Bu arka kapının en dikkat çekici özelliği, DNS trafiği aracılığıyla bir komuta ve kontrol (C&C) sunucusuyla iletişim kurmasıdır” dedi. söz konusu The Hacker News ile paylaşılan bir raporda.
Arka kapının kökeni ve saldırının amacı henüz bilinmiyor.
Msupedge’in dağıtımını kolaylaştıran ilk erişim vektörünün, PHP’yi etkileyen yakın zamanda açıklanan kritik bir kusurun (CVE-2024-4577, CVSS puanı: 9,8) istismarını içerdiği söyleniyor; bu, şu amaçlar için kullanılabilir: uzaktan kod yürütmeyi başar.
Söz konusu arka kapı, “csidl_drive_fixedxampp” ve “csidl_systemwbem” yollarına yüklenen bir dinamik bağlantı kitaplığıdır (DLL). DLL’lerden biri olan wuplog.dll, Apache HTTP sunucusu (httpd) tarafından başlatılır. İkinci DLL için ana işlem belirsizdir.
Msupedge’in en dikkat çekici yönü, açık kaynaklı koda dayalı olarak C&C sunucusuyla iletişim için DNS tünellemesine güvenmesidir. dnscat2 alet.
“Ad çözümlemesi yaparak komutları alır,” diye belirtti Symantec. “Msupedge yalnızca DNS trafiği üzerinden komutları almaz, aynı zamanda C&C sunucusunun çözümlenmiş IP adresini de kullanır (ctl.msedeapi[.]net) bir emir olarak kullanılmıştır.”
Özellikle, çözülen IP adresinin üçüncü okteti bir anahtar kutusu arka kapının davranışını yediyi çıkararak ve uygun yanıtları tetiklemek için onaltılık gösterimini kullanarak belirler. Örneğin, üçüncü oktet 145 ise, yeni türetilen değer 138’e (0x8a) çevrilir.
Msupedge tarafından desteklenen komutlar aşağıda listelenmiştir –
- 0x8a: DNS TXT kaydı aracılığıyla alınan bir komutu kullanarak bir işlem oluşturun
- 0x75: Bir DNS TXT kaydı aracılığıyla alınan bir indirme URL’sini kullanarak dosyayı indirin
- 0x24: Önceden belirlenmiş bir zaman aralığı boyunca uyu
- 0x66: Önceden belirlenmiş bir zaman aralığı boyunca uyu
- 0x38: Amacı bilinmeyen “%temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp” adlı geçici bir dosya oluşturun
- 0x3c: “%temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp” dosyasını silin
Gelişme şu şekilde geliyor: UTG-Q-010 tehdit grubu Pupy RAT adı verilen açık kaynaklı bir kötü amaçlı yazılımı dağıtmak için kripto para ve iş amaçlı tuzaklardan yararlanan yeni bir kimlik avı kampanyasıyla ilişkilendirildi.
“Saldırı zinciri, gömülü bir DLL yükleyicisi olan kötü amaçlı .lnk dosyalarının kullanımını içeriyor ve Pupy RAT yük dağıtımıyla sonuçlanıyor,” Symantec söz konusu“Pupy, yansıtıcı DLL yükleme ve bellek içi yürütme gibi işlevlere sahip Python tabanlı bir Uzaktan Erişim Truva Atı’dır (RAT).”