一种之前未记录的后门程序 Msupedge 已被用于对付针对台湾一所未具名大学的网络攻击。

博通旗下赛门铁克威胁猎人团队在与 The Hacker News 分享的一份报告中表示：“该后门最显著的特征是它通过 DNS 流量与命令和控制 (C&C) 服务器进行通信。”

目前，该后门的来源以及攻击背后的目的尚不清楚。

据称，可能有助于部署 Msupedge 的初始访问载体涉及利用最近披露的影响 PHP 的严重漏洞（CVE-2024-4577，CVSS 评分：9.8），该漏洞可用于实现远程代码执行。

有问题的后门是一个动态链接库 (DLL)，安装在路径“csidl_drive_fixed\xampp\”和“csidl_system\wbem\”中。其中一个 DLL，wuplog.dll，由 Apache HTTP 服务器 (httpd) 启动。第二个 DLL 的父进程尚不清楚。

Msupedge 最显著的方面是它依赖 DNS 隧道与 C＆C 服务器进行通信，其代码基于开源dnscat2工具。

赛门铁克指出：“它通过执行名称解析来接收命令。Msupedge 不仅通过 DNS 流量接收命令，还将解析后的 C&C 服务器 IP 地址 (ctl.msedeapi[.]net) 用作命令。”

具体来说，解析后的 IP 地址的第三个八位字节充当一个switch case，通过从中减去七并使用其十六进制表示法来触发适当的响应，从而确定后门的行为。例如，如果第三个八位字节是 145，则新得出的值将转换为 138 (0x8a)。

Msupedge 支持的命令如下 -

0x8a：使用通过 DNS TXT 记录收到的命令创建进程
0x75：使用通过 DNS TXT 记录收到的下载 URL 下载文件
0x24：休眠预定的时间间隔
0x66：休眠预定的时间间隔
0x38：创建一个临时文件“%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”，其用途未知
0x3c：删除文件“%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”

目前，UTG-Q-010 威胁组织已被指控与一项新的网络钓鱼活动有关，该活动利用加密货币和与工作相关的诱饵来传播一种名为Pupy RAT的开源恶意软件。

赛门铁克表示：“攻击链涉及使用带有嵌入式 DLL 加载器的恶意 .lnk 文件，最终导致 Pupy RAT 负载部署。Pupy是一种基于 Python 的远程访问木马 (RAT)，具有反射 DLL 加载和内存执行等功能。”