Se utilizó una puerta trasera previamente indocumentada llamada Msupedge contra un ciberataque dirigido a una universidad anónima en Taiwán.
«La característica más notable de esta puerta trasera es que se comunica con un servidor de comando y control (C&C) a través del tráfico DNS», dijo el equipo de Symantec Threat Hunter, parte de Broadcom, dicho en un informe compartido con The Hacker News.
Actualmente se desconocen los orígenes de la puerta trasera, así como los objetivos detrás del ataque.
El vector de acceso inicial que probablemente facilitó la implementación de Msupedge implicaría la explotación de una vulnerabilidad crítica recientemente revelada que afecta a PHP (CVE-2024-4577, puntuación CVSS: 9,8), que podría usarse para lograr la ejecución remota de código.
La puerta trasera en cuestión es una biblioteca de vínculos dinámicos (DLL) instalada en las rutas «csidl_drive_fixed\xampp\» y «csidl_system\wbem\». Una de las DLL, wuplog.dll, la inicia el servidor HTTP Apache (httpd). El proceso principal de la segunda DLL no está claro.
El aspecto más notable de Msupedge es su dependencia del túnel DNS para la comunicación con el servidor C&C, con código basado en código abierto. DNSCAT2 herramienta.
«Recibe comandos realizando la resolución de nombres», señaló Symantec. “Msupedge no sólo recibe comandos a través del tráfico DNS, sino que también utiliza la dirección IP resuelta del servidor C&C (ctl.msedeapi[.]net) como comando.»
Específicamente, el tercer octeto de la dirección IP resuelta funciona como un caja de interruptores que determina el comportamiento de la puerta trasera restándole siete y usando su notación hexadecimal para desencadenar las respuestas apropiadas. Por ejemplo, si el tercer byte es 145, el valor recién derivado se traduce en 138 (0x8a).
Los comandos admitidos por Msupedge se enumeran a continuación:
- 0x8a: cree un proceso utilizando un comando recibido a través de un registro TXT DNS
- 0x75: descargue el archivo usando una URL de descarga recibida a través de un registro DNS TXT
- 0x24: Dormir durante un intervalo de tiempo predeterminado
- 0x66: Dormir durante un intervalo de tiempo predeterminado
- 0x38: Crea un archivo temporal “%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp” cuyo propósito se desconoce
- 0x3c: Eliminar el archivo “%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”
El desarrollo surge como Grupo de amenaza UTG-Q-010 se ha vinculado a una nueva campaña de phishing que explota criptomonedas y señuelos laborales para distribuir malware de código abierto llamado Pupy RAT.
«La cadena de ataque implica el uso de archivos .lnk maliciosos con un cargador DLL integrado, que culmina con la implementación de la carga útil Pupy RAT», dijo Symantec. dicho“Pupy es un troyano de acceso remoto (RAT) basado en Python con carga reflexiva de DLL y funciones de ejecución en memoria, entre otras. »
