Una puerta trasera previamente no documentada llamada Msupedge ha sido utilizada contra un ciberataque dirigido contra una universidad an\u00f3nima en Taiw\u00e1n.<\/p>\n
“La caracter\u00edstica m\u00e1s notable de esta puerta trasera es que se comunica con un servidor de comando y control (C&C) a trav\u00e9s del tr\u00e1fico DNS”, dijo el equipo de cazadores de amenazas de Symantec, parte de Broadcom. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n Actualmente se desconocen los or\u00edgenes de la puerta trasera, as\u00ed como los objetivos detr\u00e1s del ataque.<\/p>\n Se dice que el vector de acceso inicial que probablemente facilit\u00f3 la implementaci\u00f3n de Msupedge implica la explotaci\u00f3n de una falla cr\u00edtica recientemente revelada que afecta a PHP (CVE-2024-4577, puntaje CVSS: 9.8), que podr\u00eda usarse para lograr la ejecuci\u00f3n remota de c\u00f3digo<\/a>.<\/p>\n La puerta trasera en cuesti\u00f3n es una biblioteca de v\u00ednculos din\u00e1micos (DLL) que est\u00e1 instalada en las rutas “csidl_drive_fixedxampp” y “csidl_systemwbem”. Una de las DLL, wuplog.dll, es ejecutada por el servidor HTTP Apache (httpd). No est\u00e1 claro cu\u00e1l es el proceso principal de la segunda DLL.<\/p>\n El aspecto m\u00e1s notable de Msupedge es su dependencia de la tunelizaci\u00f3n DNS para la comunicaci\u00f3n con el servidor C&C, con c\u00f3digo basado en c\u00f3digo abierto. dnscat2<\/a> herramienta.<\/p>\n “Recibe comandos mediante la resoluci\u00f3n de nombres”, se\u00f1al\u00f3 Symantec. “Msupedge no solo recibe comandos a trav\u00e9s del tr\u00e1fico DNS, sino que tambi\u00e9n utiliza la direcci\u00f3n IP resuelta del servidor C&C (ctl.msedeapi).[.]net) como un comando.”<\/p>\n Espec\u00edficamente, el tercer octeto de la direcci\u00f3n IP resuelta funciona como un caja del interruptor<\/a> que determina el comportamiento de la puerta trasera rest\u00e1ndole siete y utilizando su notaci\u00f3n hexadecimal para activar las respuestas adecuadas. Por ejemplo, si el tercer octeto es 145, el valor reci\u00e9n derivado se traduce en 138 (0x8a).<\/p>\n Los comandos admitidos por Msupedge se enumeran a continuaci\u00f3n:<\/p>\n El desarrollo se produce a medida que Grupo de amenazas UTG-Q-010<\/a> se ha vinculado a una nueva campa\u00f1a de phishing que aprovecha cebos relacionados con criptomonedas y empleos para distribuir un malware de c\u00f3digo abierto llamado Pupy RAT.<\/p>\n “La cadena de ataque implica el uso de archivos .lnk maliciosos con un cargador de DLL integrado, que termina en la implementaci\u00f3n de la carga \u00fatil Pupy RAT”, dijo Symantec dicho<\/a>“Pupy es un troyano de acceso remoto (RAT) basado en Python con funcionalidad para carga reflexiva de DLL y ejecuci\u00f3n en memoria, entre otras”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Los-piratas-informaticos-aprovechan-una-vulnerabilidad-de-PHP-para-implementar.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/center><\/section>\n