一种之前未记录的后门程序 Msupedge 已被用于对付针对台湾一所未具名大学的网络攻击。

博通旗下赛门铁克威胁猎人团队在与 The Hacker News 分享的一份报告中表示：“该后门最显著的特征是它通过 DNS 流量与命令和控制 (C&C) 服务器进行通信。”

目前，该后门的来源以及攻击背后的目的尚不清楚。

据称，可能有助于部署 Msupedge 的初始访问载体涉及利用最近披露的影响 PHP 的严重漏洞（CVE-2024-4577，CVSS 评分：9.8），该漏洞可用于实现远程代码执行。

有问题的后门是一个动态链接库 (DLL)，安装在路径“csidl_drive_fixed\xampp\”和“csidl_system\wbem\”中。其中一个 DLL，wuplog.dll，由 Apache HTTP 服务器 (httpd) 启动。第二个 DLL 的父进程尚不清楚。

Msupedge 最显著的方面是它依赖 DNS 隧道与 C＆C 服务器进行通信，其代码基于开源dnscat2工具。

赛门铁克指出：“它通过执行名称解析来接收命令。Msupedge 不仅通过 DNS 流量接收命令，还将解析后的 C&C 服务器 IP 地址 (ctl.msedeapi[.]net) 用作命令。”

具体来说，解析后的 IP 地址的第三个八位字节充当一个switch case，通过从中减去七并使用其十六进制表示法来触发适当的响应，从而确定后门的行为。例如，如果第三个八位字节是 145，则新得出的值将转换为 138 (0x8a)。

Msupedge 支持的命令如下 -

0x8a：使用通过 DNS TXT 记录收到的命令创建进程
0x75：使用通过 DNS TXT 记录收到的下载 URL 下载文件
0x24：休眠预定的时间间隔
0x66：休眠预定的时间间隔
0x38：创建一个临时文件“%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”，其用途未知
0x3c：删除文件“%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”

目前，UTG-Q-010 威胁组织已被指控与一项新的网络钓鱼活动有关，该活动利用加密货币和与工作相关的诱饵来传播一种名为Pupy RAT的开源恶意软件。

赛门铁克表示：“攻击链涉及使用带有嵌入式 DLL 加载器的恶意 .lnk 文件，最终导致 Pupy RAT 负载部署。Pupy是一种基于 Python 的远程访问木马 (RAT)，具有反射 DLL 加载和内存执行等功能。”

红帽公司周五发布了“紧急安全警报”，警告称流行的数据压缩库XZ Utils（以前称为 LZMA Utils）的两个版本已被恶意代码植入后门，旨在允许未经授权的远程访问。

软件供应链妥协的编号为CVE-2024-3094，CVSS 评分为 10.0，表明严重程度最高。它影响 XZ Utils 版本 5.6.0（2 月 24 日发布）和 5.6.1（3 月 9 日发布）。

IBM 子公司在一份公告中表示： “通过一系列复杂的混淆，liblzma 构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件，然后用于修改 liblzma 代码中的特定功能。”

“这会产生一个修改后的 liblzma 库，任何与该库链接的软件都可以使用该库，拦截并修改与该库的数据交互。”

具体来说，代码中包含的恶意代码旨在通过systemd软件套件干扰 SSH（安全 Shell）的 sshd 守护进程，并可能使威胁参与者能够破坏 sshd 身份验证并在“以下情况下”远程获得对系统的未经授权的访问：正确的情况。”

“CVE-2024-3094 引入的恶意后门的最终目标是将代码注入到受害计算机上运行的 OpenSSH 服务器 (SSHD)，并允许特定的远程攻击者（拥有特定的私钥）发送任意代码JFrog说：“通过 SSH 发送有效负载，该负载将在身份验证步骤之前执行，从而有效地劫持整个受害计算机。 ”

微软安全研究员 Andres Freund 被认为在周五发现并报告了这个问题。据说，经过严重混淆的恶意代码是由一位名叫 Jia Tan (JiaT75) 的用户通过对 GitHub 上Tukaani 项目的一系列四次提交引入的。

“鉴于活动持续了数周，提交者要么直接参与其中，要么他们的系统受到了一些相当严重的损害，”弗罗因德说。 “不幸的是，考虑到他们在各种列表上就‘修复’进行了沟通，后者看起来不太可能是解释。”

微软旗下的 GitHub 此后禁用了 Tukaani 项目维护的 XZ Utils 存储库，“因为违反了 GitHub 的服务条款”。目前还没有关于在野外进行积极利用的报道。

有证据表明，这些软件包仅存在于 Fedora 41 和 Fedora Rawhide 中，并且不会影响Alpine Linux、Amazon Linux、 Debian Stable 、Gentoo Linux、Linux Mint、 Red Hat Enterprise Linux (RHEL) 、 SUSE Linux Enterprise 和 Leap 等发行版，和乌班图。

出于谨慎考虑，建议 Fedora Linux 40 用户降级到 5.4 版本。受供应链攻击影响的其他一些 Linux 发行版如下：

Arch Linux（安装介质 2024.03.01、虚拟机映像 20240301.218094 和 20240315.221711，以及在 2024 年 2 月 24 日和 2024 年 3 月 28 日（含）期间创建的容器映像）
Kali Linux（3 月 26 日至 29 日期间）
openSUSE Tumbleweed 和 openSUSE MicroOS（3 月 7 日至 28 日期间）
Debian 测试、不稳定和实验版本（从 5.5.1alpha-0.1 到 5.6.1-1）