Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Msupedge: бэкдор скрывается в обычном DNS-трафике

22/08/24

backdoor-Aug-22-2024-09-27-52-1645-AM

В результате кибератаки на один из университетов Тайваня была выявлена ранее неизвестная вредоносная программа, которая получила условное название Backdoor.Msupedge. Программа отличается уникальным методом связи с C2-сервером через DNS-трафик. Специалисты Symantec рассказали в отчете о своей находке, пишет Securitylab.

Backdoor.Msupedge представляет собой бэкдор, выполненный в виде динамической библиотеки (DLL). Эксперты обнаружили вредоносное ПО в двух различных директориях на атакованной системе: в каталоге, используемом Apache, и в системной папке, где DLL обычно связывается с WMI (Windows Management Instrumentation). Основная задача программы — получение команд от злоумышленников через процесс разрешения доменных имен.

Для коммуникации с сервером управления Backdoor.Msupedge использует метод DNS-туннелирования, основанный на общедоступном инструменте dnscat2, который позволяет атакующим передавать команды посредством разрешения доменных имен. Например, при разрешении определённого доменного имени, программа получает IP-адрес сервера управления, который используется для выполнения команд на зараженной системе.

Программа поддерживает множество различных команд, включая создание процессов, загрузку файлов, временную приостановку работы и создание временных файлов. При этом выполнение каждой команды сопровождается обратной связью, которая включает информацию о выделении памяти, декомпрессии и успешности выполнения задач. Эти данные передаются злоумышленникам также через DNS-запросы, что позволяет скрыть активность вредоносной программы.

Особое внимание заслуживает механизм изменения поведения программы в зависимости от значений отдельных октетов (Octet) IP-адреса, который возвращается при разрешении доменного имени. Например, один из возможных сценариев — использование третьего октета адреса, который после определённых математических операций определяет, какую именно команду выполнит бэкдор.

Предполагается, что начальная фаза заражения была осуществлена с помощью эксплуатации недавно обнаруженной уязвимости в PHP CVE-2024-4577 (оценка CVSS: 9.8). RCE-недостаток возник из-за ошибки в обработке аргументов CGI на системах Windows. Ошибка в первую очередь затрагивает Windows на китайском и японском языках. Несмотря на то, что уязвимость была недавно устранена, многие системы остаются под угрозой, и в последние недели было зафиксировано множество попыток эксплуатации.

Пока что исследователям не удалось установить, кто стоит за атакой, а также неясны мотивы злоумышленников. Тем не менее, использование такой сложной техники коммуникации и скрытности указывает на высокую квалификацию разработчиков Backdoor.Msupedge, что делает угрозу особенно опасной. Эксперты призывают владельцев уязвимых систем немедленно обновить программное обеспечение и обратить особое внимание на необычный DNS-трафик, который может свидетельствовать о наличии угрозы.

Темы:ПреступленияSymantecDNSбэкдоры
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...