- 13,850
- 20
- 8 Ноя 2022
Новое вредоносное ПО использует нестандартный метод коммуникации.
В результате кибератаки на один из университетов Тайваня была выявлена ранее неизвестная вредоносная программа, которая получила условное название Backdoor.Msupedge. Программа отличается уникальным методом связи с C2-сервером через DNS-трафик. Специалисты Symantec Для просмотра ссылки Войдиили Зарегистрируйся о своей находке.
Backdoor.Msupedge представляет собой бэкдор, выполненный в виде динамической библиотеки (DLL). Эксперты обнаружили вредоносное ПО в двух различных директориях на атакованной системе: в каталоге, используемом Apache, и в системной папке, где DLL обычно связывается с WMI (Windows Management Instrumentation). Основная задача программы — получение команд от злоумышленников через процесс разрешения доменных имен.
Для коммуникации с сервером управления Backdoor.Msupedge использует метод DNS-туннелирования, основанный на общедоступном инструменте Для просмотра ссылки Войдиили Зарегистрируйся который позволяет атакующим передавать команды посредством разрешения доменных имен. Например, при разрешении определённого доменного имени, программа получает IP-адрес сервера управления, который используется для выполнения команд на зараженной системе.
Программа поддерживает множество различных команд, включая создание процессов, загрузку файлов, временную приостановку работы и создание временных файлов. При этом выполнение каждой команды сопровождается обратной связью, которая включает информацию о выделении памяти, декомпрессии и успешности выполнения задач. Эти данные передаются злоумышленникам также через DNS-запросы, что позволяет скрыть активность вредоносной программы.
Особое внимание заслуживает механизм изменения поведения программы в зависимости от значений отдельных октетов ( Octet ) IP-адреса, который возвращается при разрешении доменного имени. Например, один из возможных сценариев — использование третьего октета адреса, который после определённых математических операций определяет, какую именно команду выполнит бэкдор.
Предполагается, что начальная фаза заражения была осуществлена с помощью эксплуатации недавно обнаруженной уязвимости в PHP Для просмотра ссылки Войдиили Зарегистрируйся (оценка CVSS: 9.8). RCE -недостаток возник из-за ошибки в обработке аргументов CGI на системах Windows. Ошибка в первую очередь затрагивает Windows на китайском и японском языках. Несмотря на то, что уязвимость была недавно устранена, многие системы остаются под угрозой, и в последние недели было зафиксировано Для просмотра ссылки Войди или Зарегистрируйся эксплуатации.
Пока что исследователям не удалось установить, кто стоит за атакой, а также неясны мотивы злоумышленников. Тем не менее, использование такой сложной техники коммуникации и скрытности указывает на высокую квалификацию разработчиков Backdoor.Msupedge, что делает угрозу особенно опасной. Эксперты призывают владельцев уязвимых систем немедленно обновить программное обеспечение и обратить особое внимание на необычный DNS-трафик, который может свидетельствовать о наличии угрозы.
C ноября 2023 по апрель 2024 года исследователями Insikt Group Для просмотра ссылки Войдиили Зарегистрируйся кибершпионская кампания, направленная на государственные, академические, технологические и дипломатические организации Тайваня. По данным специалистов, за этими атаками стоит кибергруппа RedJuliett, предположительно связанная с Китаем и действующая из города Фучжоу.
В результате кибератаки на один из университетов Тайваня была выявлена ранее неизвестная вредоносная программа, которая получила условное название Backdoor.Msupedge. Программа отличается уникальным методом связи с C2-сервером через DNS-трафик. Специалисты Symantec Для просмотра ссылки Войди
Backdoor.Msupedge представляет собой бэкдор, выполненный в виде динамической библиотеки (DLL). Эксперты обнаружили вредоносное ПО в двух различных директориях на атакованной системе: в каталоге, используемом Apache, и в системной папке, где DLL обычно связывается с WMI (Windows Management Instrumentation). Основная задача программы — получение команд от злоумышленников через процесс разрешения доменных имен.
Для коммуникации с сервером управления Backdoor.Msupedge использует метод DNS-туннелирования, основанный на общедоступном инструменте Для просмотра ссылки Войди
Программа поддерживает множество различных команд, включая создание процессов, загрузку файлов, временную приостановку работы и создание временных файлов. При этом выполнение каждой команды сопровождается обратной связью, которая включает информацию о выделении памяти, декомпрессии и успешности выполнения задач. Эти данные передаются злоумышленникам также через DNS-запросы, что позволяет скрыть активность вредоносной программы.
Особое внимание заслуживает механизм изменения поведения программы в зависимости от значений отдельных октетов ( Octet ) IP-адреса, который возвращается при разрешении доменного имени. Например, один из возможных сценариев — использование третьего октета адреса, который после определённых математических операций определяет, какую именно команду выполнит бэкдор.
Предполагается, что начальная фаза заражения была осуществлена с помощью эксплуатации недавно обнаруженной уязвимости в PHP Для просмотра ссылки Войди
Пока что исследователям не удалось установить, кто стоит за атакой, а также неясны мотивы злоумышленников. Тем не менее, использование такой сложной техники коммуникации и скрытности указывает на высокую квалификацию разработчиков Backdoor.Msupedge, что делает угрозу особенно опасной. Эксперты призывают владельцев уязвимых систем немедленно обновить программное обеспечение и обратить особое внимание на необычный DNS-трафик, который может свидетельствовать о наличии угрозы.
C ноября 2023 по апрель 2024 года исследователями Insikt Group Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
