يستغل المتسللون ثغرة PHP لنشر Stealthy Msupedge Backdoor

20 أغسطس 2024رافي لاكشمانانالضعف / التهديد الاستخباراتي

تم استخدام باب خلفي غير موثق سابقًا يُسمى Msupedge للاستخدام ضد هجوم إلكتروني يستهدف جامعة لم يذكر اسمها في تايوان.

“الميزة الأكثر بروزًا لهذا الباب الخلفي هي أنه يتواصل مع خادم القيادة والتحكم (C&C) عبر حركة مرور DNS،” فريق Symantec Threat Hunter، وهو جزء من Broadcom، قال في تقرير تمت مشاركته مع The Hacker News.

أصول الباب الخلفي غير معروفة حاليًا وكذلك الأهداف من وراء الهجوم.

يُقال إن ناقل الوصول الأولي الذي سهّل على الأرجح نشر Msupedge يتضمن استغلال خلل خطير تم الكشف عنه مؤخرًا ويؤثر على PHP (CVE-2024-4577، درجة CVSS: 9.8)، والتي يمكن استخدامها تحقيق تنفيذ التعليمات البرمجية عن بعد.

الباب الخلفي المعني هو مكتبة الارتباط الديناميكي (DLL) المثبتة في المسارات “csidl_drive_fixed\xampp\” و”csidl_system\wbem\.” يتم تشغيل إحدى ملفات DLL، wuplog.dll، بواسطة خادم Apache HTTP (httpd). العملية الأصلية لملف DLL الثاني غير واضحة.

الجانب الأكثر بروزًا في Msupedge هو اعتماده على نفق DNS للتواصل مع خادم القيادة والسيطرة، مع تعليمات برمجية تعتمد على المصدر المفتوح dnscat2 أداة.

وأشارت سيمانتيك إلى أنها “تتلقى الأوامر عن طريق تنفيذ تحليل الاسم”. “لا يتلقى Msupedge الأوامر عبر حركة مرور DNS فحسب، بل يستخدم أيضًا عنوان IP الذي تم حله لخادم القيادة والسيطرة (ctl.msedeapi)[.]net) كأمر.”

على وجه التحديد، تعمل الثماني بتات الثالثة من عنوان IP الذي تم حله كـ حالة التبديل الذي يحدد سلوك الباب الخلفي عن طريق طرح سبعة منه واستخدام تدوينه السداسي العشري لتحفيز الاستجابات المناسبة. على سبيل المثال، إذا كانت الثماني الثالثة هي 145، فستتم ترجمة القيمة المشتقة حديثًا إلى 138 (0x8a).

الأوامر التي يدعمها Msupedge مدرجة أدناه –

• 0x8a: قم بإنشاء عملية باستخدام أمر تم تلقيه عبر سجل DNS TXT
• 0x75: قم بتنزيل الملف باستخدام عنوان URL للتنزيل الذي تم استلامه عبر سجل DNS TXT
• 0x24: النوم لفترة زمنية محددة مسبقًا
• 0x66: النوم لفترة زمنية محددة مسبقًا
• 0x38: قم بإنشاء ملف مؤقت “%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp” والغرض منه غير معروف
• 0x3c: احذف الملف “%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”

التطوير يأتي كما مجموعة التهديد UTG-Q-010 تم ربطه بحملة تصيد احتيالي جديدة تستفيد من الإغراءات المتعلقة بالعملات المشفرة والوظيفة لتوزيع برنامج ضار مفتوح المصدر يسمى Pupy RAT.

“تتضمن سلسلة الهجوم استخدام ملفات .lnk ضارة مع محمل DLL مضمن، وينتهي الأمر بنشر حمولة Pupy RAT،” Symantec قال. “Pupy عبارة عن حصان طروادة (RAT) للوصول عن بعد يستند إلى Python مع وظيفة تحميل DLL العاكس والتنفيذ في الذاكرة، من بين أمور أخرى.”