Msupedge: неизвестный бэкдор скрывается в обычном DNS-трафике

Безопасный VPN через Телеграмм – обойди все блокировки:

Новое вредоносное ПО использует нестандартный метод коммуникации.

В результате кибератаки на один из университетов Тайваня была выявлена ранее неизвестная вредоносная программа, которая получила условное название Backdoor.Msupedge. Программа отличается уникальным методом связи с C2-сервером через DNS-трафик. Специалисты Symantec рассказали в отчете о своей находке.

Backdoor.Msupedge представляет собой бэкдор, выполненный в виде динамической библиотеки (DLL). Эксперты обнаружили вредоносное ПО в двух различных директориях на атакованной системе: в каталоге, используемом Apache, и в системной папке, где DLL обычно связывается с WMI (Windows Management Instrumentation). Основная задача программы — получение команд от злоумышленников через процесс разрешения доменных имен.

Для коммуникации с сервером управления Backdoor.Msupedge использует метод DNS-туннелирования, основанный на общедоступном инструменте dnscat2, который позволяет атакующим передавать команды посредством разрешения доменных имен. Например, при разрешении определённого доменного имени, программа получает IP-адрес сервера управления, который используется для выполнения команд на зараженной системе.

Купи VPN в России за минуту через наш Телеграмм-бот:

Программа поддерживает множество различных команд, включая создание процессов, загрузку файлов, временную приостановку работы и создание временных файлов. При этом выполнение каждой команды сопровождается обратной связью, которая включает информацию о выделении памяти, декомпрессии и успешности выполнения задач. Эти данные передаются злоумышленникам также через DNS-запросы, что позволяет скрыть активность вредоносной программы.

Особое внимание заслуживает механизм изменения поведения программы в зависимости от значений отдельных октетов (Octet) IP-адреса, который возвращается при разрешении доменного имени. Например, один из возможных сценариев — использование третьего октета адреса, который после определённых математических операций определяет, какую именно команду выполнит бэкдор.

Предполагается, что начальная фаза заражения была осуществлена с помощью эксплуатации недавно обнаруженной уязвимости в PHP CVE-2024-4577 (оценка CVSS: 9.8). RCE-недостаток возник из-за ошибки в обработке аргументов CGI на системах Windows. Ошибка в первую очередь затрагивает Windows на китайском и японском языках. Несмотря на то, что уязвимость была недавно устранена, многие системы остаются под угрозой, и в последние недели было зафиксировано множество попыток эксплуатации.

  Tusk: русскоязычные хакеры охотятся за криптовалютой по всему миру

Пока что исследователям не удалось установить, кто стоит за атакой, а также неясны мотивы злоумышленников. Тем не менее, использование такой сложной техники коммуникации и скрытности указывает на высокую квалификацию разработчиков Backdoor.Msupedge, что делает угрозу особенно опасной. Эксперты призывают владельцев уязвимых систем немедленно обновить программное обеспечение и обратить особое внимание на необычный DNS-трафик, который может свидетельствовать о наличии угрозы.

C ноября 2023 по апрель 2024 года исследователями Insikt Group была зафиксирована кибершпионская кампания, направленная на государственные, академические, технологические и дипломатические организации Тайваня. По данным специалистов, за этими атаками стоит кибергруппа RedJuliett, предположительно связанная с Китаем и действующая из города Фучжоу.

Кодовое слово дня — безопасность.

Узнай больше — подпишись на нас!

Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.

Почему стоит использовать платный VPN сервис?

  • Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
  • Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
  • Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.

Добавить комментарий

Вернуться наверх