Une porte dérobée jusqu’alors non documentée appelée Msupedge a été utilisée contre une cyberattaque ciblant une université anonyme à Taiwan.
« La caractéristique la plus notable de cette porte dérobée est qu’elle communique avec un serveur de commande et de contrôle (C&C) via le trafic DNS », a déclaré l’équipe Symantec Threat Hunter, qui fait partie de Broadcom, dit dans un rapport partagé avec The Hacker News.
Les origines de la porte dérobée sont actuellement inconnues, tout comme les objectifs derrière l’attaque.
Le vecteur d’accès initial qui a probablement facilité le déploiement de Msupedge impliquerait l’exploitation d’une faille critique récemment divulguée affectant PHP (CVE-2024-4577, score CVSS : 9,8), qui pourrait être utilisée pour réaliser l’exécution de code à distance.
La porte dérobée en question est une bibliothèque de liens dynamiques (DLL) installée dans les chemins « csidl_drive_fixedxampp » et « csidl_systemwbem ». L’une des DLL, wuplog.dll, est lancée par le serveur HTTP Apache (httpd). Le processus parent de la deuxième DLL n’est pas clair.
L’aspect le plus notable de Msupedge est sa dépendance au tunneling DNS pour la communication avec le serveur C&C, avec un code basé sur l’open source DNSCAT2 outil.
« Il reçoit des commandes en effectuant une résolution de nom », a noté Symantec. « Msupedge reçoit non seulement des commandes via le trafic DNS, mais utilise également l’adresse IP résolue du serveur C&C (ctl.msedeapi[.]net) comme commande. »
Plus précisément, le troisième octet de l’adresse IP résolue fonctionne comme un boîtier de commutation qui détermine le comportement de la porte dérobée en lui soustrayant sept et en utilisant sa notation hexadécimale pour déclencher les réponses appropriées. Par exemple, si le troisième octet est 145, la valeur nouvellement dérivée se traduit par 138 (0x8a).
Les commandes prises en charge par Msupedge sont répertoriées ci-dessous –
- 0x8a : Créer un processus à l’aide d’une commande reçue via un enregistrement DNS TXT
- 0x75 : Télécharger le fichier à l’aide d’une URL de téléchargement reçue via un enregistrement DNS TXT
- 0x24 : Dormir pendant un intervalle de temps prédéterminé
- 0x66 : Dormir pendant un intervalle de temps prédéterminé
- 0x38 : Créer un fichier temporaire « %temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp » dont le but est inconnu
- 0x3c : Supprimez le fichier « %temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp »
Le développement intervient alors que Groupe de menace UTG-Q-010 a été lié à une nouvelle campagne de phishing qui exploite les leurres liés à la cryptomonnaie et à l’emploi pour distribuer un malware open source appelé Pupy RAT.
« La chaîne d’attaque implique l’utilisation de fichiers .lnk malveillants avec un chargeur DLL intégré, aboutissant au déploiement de la charge utile Pupy RAT », a déclaré Symantec dit« Pupy est un cheval de Troie d’accès à distance (RAT) basé sur Python avec des fonctionnalités de chargement de DLL réflexif et d’exécution en mémoire, entre autres. »