Een tot nu toe niet gedocumenteerde backdoor met de naam Msupedge is ingezet tegen een cyberaanval gericht op een anonieme universiteit in Taiwan.
“Het meest opvallende kenmerk van deze backdoor is dat deze via DNS-verkeer communiceert met een command-and-control (C&C)-server”, aldus het Symantec Threat Hunter Team, onderdeel van Broadcom, in een rapport dat is gedeeld met The Hacker News.
De oorsprong van de backdoor is nog onbekend, evenals de doelstellingen achter de aanval.
De initiële toegangsvector die waarschijnlijk de implementatie van Msupedge mogelijk maakte, zou te maken hebben met het exploiteren van een onlangs bekendgemaakte kritieke fout met impact op PHP (CVE-2024-4577, CVSS-score: 9,8), die gebruikt zou kunnen worden om code op afstand uit te voeren.
De backdoor in kwestie is een dynamic-link library (DLL) die is geïnstalleerd in de paden “csidl_drive_fixedxampp” en “csidl_systemwbem.” Een van de DLL’s, wuplog.dll, wordt gestart door de Apache HTTP-server (httpd). Het bovenliggende proces voor de tweede DLL is onduidelijk.
Het meest opvallende aspect van Msupedge is de afhankelijkheid van DNS-tunneling voor communicatie met de C&C-server, met code gebaseerd op de open-source dnscat2-tool.
“Het ontvangt opdrachten door naamresolutie uit te voeren,” merkte Symantec op. “Msupedge ontvangt niet alleen opdrachten via DNS-verkeer, maar gebruikt ook het opgeloste IP-adres van de C&C-server (ctl.msedeapi(.)net) als opdracht.”
Specifiek functioneert het derde octet van het opgeloste IP-adres als een switchcase die het gedrag van de backdoor bepaalt door er zeven van af te trekken en de hexadecimale notatie ervan te gebruiken om de juiste reacties te activeren. Als het derde octet bijvoorbeeld 145 is, vertaalt de nieuw afgeleide waarde zich naar 138 (0x8a).
De opdrachten die door Msupedge worden ondersteund, staan hieronder vermeld:
- 0x8a: Maak een proces met behulp van een opdracht die is ontvangen via een DNS TXT-record
- 0x75: Download bestand met behulp van een download-URL ontvangen via een DNS TXT-record
- 0x24: Slaap gedurende een vooraf bepaald tijdsinterval
- 0x66: Slaap gedurende een vooraf bepaald tijdsinterval
- 0x38: Maak een tijdelijk bestand “%temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp” waarvan het doel onbekend is
- 0x3c: Verwijder het bestand “%temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”
De ontwikkeling komt nadat de UTG-Q-010-dreigingsgroep in verband is gebracht met een nieuwe phishingcampagne die cryptovaluta- en werkgerelateerde lokmiddelen gebruikt om open-sourcemalware met de naam Pupy RAT te verspreiden.
“De aanvalsketen omvat het gebruik van kwaadaardige .lnk-bestanden met een ingebedde DLL-loader, die eindigen in de Pupy RAT-payload-implementatie”, aldus Symantec. “Pupy is een op Python gebaseerde Remote Access Trojan (RAT) met functionaliteit voor onder andere reflectief DLL-laden en in-memory-uitvoering.”