Msupedge adı verilen ve daha önce hiç görülmemiş bir arka kapı, benzersiz bir iletişim tekniği kullanarak Tayvan’daki kurbanları hedef alıyor.
Symantec araştırmacıları, kötü amaçlı yazılımın Tayvan’daki bir üniversiteye düzenlenen saldırıda dağıtıldığını tespit ettikten sonra, bunun komuta ve kontrol (C2) sunucusuyla DNS trafiği aracılığıyla iletişim kurduğunu belirlediler; bu bilinen ancak nadiren görülen bir tekniktir. Bu hafta Symantec blog yazısına göre.
Arka kapı, iki dosya yoluna yüklenen dinamik bağlantı kitaplığı (DLL) biçiminde gelir:
-
csidl_drive_fixed\xampp\wuplog.dll
-
csidl_system\wbem\wmiclnt.dll
Arka kapı daha sonra DNS trafiği üzerinden komut almayı bekler ve ilk komut olarak C2 sunucusunun çözümlenmiş IP adresini kullanır.
Araştırmacılar, ilk saldırının yakın zamanda yamalanmış bir güvenlik açığından kaynaklandığını düşünüyor. CVE-2024-4577 olarak bilinen PHP güvenlik açığı. Hata, yama uygulanmamış Windows örneklerine yüklenen tüm PHP sürümlerini etkileyen bir CGI argüman enjeksiyon kusurudur. Başarılı olursa, hatanın istismarı uzaktan kod yürütmeye (RCE) yol açabilir.
Araştırmacılar, yakın zamanda savunmasız sistemleri tarayan birkaç tehdit aktörü keşfettiklerini ancak “bize bu tehditleri atfetmemize olanak tanıyan hiçbir kanıt bulamadık” dediler. [Msupedge]ve saldırının arkasındaki sebep henüz bilinmiyor.”