Una puerta trasera previamente no documentada llamada Msupedge ha sido utilizada contra un ciberataque dirigido contra una universidad anónima en Taiwán.
«La característica más notable de esta puerta trasera es que se comunica con un servidor de comando y control (C&C) a través del tráfico DNS», dijo el equipo de cazadores de amenazas de Symantec, parte de Broadcom. dicho en un informe compartido con The Hacker News.
Actualmente se desconocen los orígenes de la puerta trasera, así como los objetivos detrás del ataque.
Se dice que el vector de acceso inicial que probablemente facilitó la implementación de Msupedge implica la explotación de una falla crítica recientemente revelada que afecta a PHP (CVE-2024-4577, puntaje CVSS: 9.8), que podría usarse para lograr la ejecución remota de código.
La puerta trasera en cuestión es una biblioteca de vínculos dinámicos (DLL) que está instalada en las rutas «csidl_drive_fixedxampp» y «csidl_systemwbem». Una de las DLL, wuplog.dll, es ejecutada por el servidor HTTP Apache (httpd). No está claro cuál es el proceso principal de la segunda DLL.
El aspecto más notable de Msupedge es su dependencia de la tunelización DNS para la comunicación con el servidor C&C, con código basado en código abierto. dnscat2 herramienta.
«Recibe comandos mediante la resolución de nombres», señaló Symantec. «Msupedge no solo recibe comandos a través del tráfico DNS, sino que también utiliza la dirección IP resuelta del servidor C&C (ctl.msedeapi).[.]net) como un comando.»
Específicamente, el tercer octeto de la dirección IP resuelta funciona como un caja del interruptor que determina el comportamiento de la puerta trasera restándole siete y utilizando su notación hexadecimal para activar las respuestas adecuadas. Por ejemplo, si el tercer octeto es 145, el valor recién derivado se traduce en 138 (0x8a).
Los comandos admitidos por Msupedge se enumeran a continuación:
- 0x8a: Crear un proceso utilizando un comando recibido a través de un registro TXT de DNS
- 0x75: Descargar archivo utilizando una URL de descarga recibida a través de un registro TXT de DNS
- 0x24: Dormir durante un intervalo de tiempo predeterminado
- 0x66: Suspender durante un intervalo de tiempo predeterminado
- 0x38: Crear un archivo temporal «%temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp» cuyo propósito es desconocido
- 0x3c: Eliminar el archivo «%temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp»
El desarrollo se produce a medida que Grupo de amenazas UTG-Q-010 se ha vinculado a una nueva campaña de phishing que aprovecha cebos relacionados con criptomonedas y empleos para distribuir un malware de código abierto llamado Pupy RAT.
«La cadena de ataque implica el uso de archivos .lnk maliciosos con un cargador de DLL integrado, que termina en la implementación de la carga útil Pupy RAT», dijo Symantec dicho«Pupy es un troyano de acceso remoto (RAT) basado en Python con funcionalidad para carga reflexiva de DLL y ejecución en memoria, entre otras».