Hacker nutzen PHP-Schwachstelle aus, um heimliche Msupedge-Backdoor zu installieren

Eine bisher unbekannte Backdoor namens Msupedge wurde in einem gezielten Cyberangriff gegen eine nicht näher benannte Universität in Taiwan eingesetzt.

Das Symantec Threat Hunter Team, Teil von Broadcom, berichtete, dass die auffälligste Eigenschaft dieser Backdoor darin besteht, dass sie über DNS-Traffic mit einem Command-and-Control (C&C) Server kommuniziert.

Die Herkunft der Backdoor und die genauen Ziele des Angriffs sind derzeit unbekannt. Es wird jedoch vermutet, dass die Erstinfektion durch die Ausnutzung einer kürzlich entdeckten kritischen Schwachstelle in PHP (CVE-2024-4577, CVSS-Score: 9,8) erfolgt ist, die zur Ausführung von Remote-Code verwendet werden könnte.

Die Backdoor selbst ist eine Dynamic-Link Library (DLL), die in den Verzeichnissen „csidl_drive_fixed\xampp\“ und „csidl_system\wbem\“ installiert wird. Eine der DLLs, wuplog.dll, wird vom Apache HTTP-Server (httpd) gestartet, während der Ursprung der zweiten DLL unklar bleibt.

DNS-Tunneling zur Kommunikation

Das Bemerkenswerte an Msupedge ist ihre Verwendung von DNS-Tunneling, um mit dem C&C-Server zu kommunizieren. Der Code basiert auf dem Open-Source-Tool dnscat2.

„Sie empfängt Befehle, indem sie Namensauflösungen durchführt“, erklärte Symantec. „Msupedge empfängt nicht nur Befehle über DNS-Traffic, sondern verwendet auch die aufgelöste IP-Adresse des C&C-Servers (ctl.msedeapi[.]net) als Befehl.“

Konkret wird das dritte Oktett der aufgelösten IP-Adresse als Schalter genutzt, um das Verhalten der Backdoor zu steuern, indem es um sieben reduziert und in seine hexadezimale Notation umgewandelt wird. Diese Notation löst dann die entsprechenden Befehle aus. Beispielsweise würde ein drittes Oktett mit dem Wert 145 zu 138 (0x8a) führen.

Unterstützte Befehle von Msupedge

Die Msupedge-Backdoor unterstützt eine Reihe von Befehlen:

• 0x8a: Starten eines Prozesses mit einem Befehl, der über einen DNS TXT Record empfangen wird
• 0x75: Herunterladen einer Datei mit einer Download-URL, die über einen DNS TXT Record empfangen wird
• 0x24: In den Ruhezustand wechseln für ein bestimmtes Zeitintervall
• 0x66: In den Ruhezustand wechseln für ein bestimmtes Zeitintervall
• 0x38: Erstellen einer temporären Datei „%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp“, deren Zweck unbekannt ist
• 0x3c: Löschen der Datei „%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp“

Neue Bedrohungen im Zusammenhang mit UTG-Q-010

Parallel zu dieser Entwicklung wird die Bedrohungsgruppe UTG-Q-010 mit einer neuen Phishing-Kampagne in Verbindung gebracht, die Kryptowährungs- und Jobangebote als Köder verwendet, um die Open-Source-Malware Pupy RAT zu verbreiten.

„Die Angriffskette beinhaltet den Einsatz bösartiger .lnk-Dateien mit einem eingebetteten DLL-Loader, der letztlich zur Bereitstellung der Pupy RAT-Payload führt“, so Symantec. „Pupy ist ein Python-basierter Remote Access Trojan (RAT), der unter anderem Funktionen für das reflexive DLL-Loading und die Ausführung im Speicher bietet.“

Diese neuen Entwicklungen unterstreichen die fortlaufende Bedrohung durch hochentwickelte Cyberangriffe und die Notwendigkeit für robuste Sicherheitsmaßnahmen in Organisationen weltweit.