Msupedgeیک درب پشتی که قبلاً مستند نشده بود به نام Msupedge برای مقابله با یک حمله سایبری که دانشگاهی ناشناس در تایوان را هدف قرار داده بود، مورداستفاده قرار گرفت.

تیم شکارچی تهدید Symantec، بخشی از Broadcom، در گزارشی که با The Hacker News به اشتراک گذاشته‌شده است، گفت[۱]: «قابل‌توجه‌ترین ویژگی این درب پشتی این است که با یک سرور فرمان و کنترل (C&C) از طریق ترافیک DNS ارتباط برقرار می‌کند.»

منشأ این درب پشتی در حال حاضر ناشناخته است و اهداف پشت این حمله نیز ناشناخته است.

گفته می‌شود که بردار دسترسی اولیه که احتمالاً استقرار Msupedge را تسهیل می‌کند، شامل بهره‌برداری از یک نقص مهم اخیراً افشا شده است که بر PHP تأثیر می‌گذارد ([۲]CVE-2024-4577، امتیاز ۸/۹ در مقیاس CVSS)، که می‌تواند برای دستیابی به اجرای کد از راه دور استفاده شود[۳].

درب پشتی موردنظر یک کتابخانه پیوند پویا (DLL) است که در مسیرهای “csidl_drive_fixed\xampp\” و “csidl_system\wbem\” نصب شده است. یکی از DLL ها، wuplog.dll، توسط سرور HTTP آپاچی (httpd) راه‌اندازی شده است. فرآیند اولیه برای DLL دوم نامشخص است.

قابل‌توجه‌ترین جنبه Msupedge اتکای آن به تونل سازی DNS برای ارتباط با سرور C&C با کد مبتنی بر ابزار منبع باز dnscat2 است[۴].

سیمانتک خاطرنشان کرد: “این درب پشتی با انجام تفکیک نام، دستورات را دریافت می‌کند. Msupedge نه‌تنها دستورات را از طریق ترافیک DNS دریافت می‌کند، بلکه از آدرس IP حل‌شده سرور C&C (ctl.msedeapi[.]net) به‌عنوان دستور نیز استفاده می‌کند.”

به‌طور خاص، octet سوم از آدرس IP حل‌شده به‌عنوان یک مورد سوئیچ[۵] عمل می‌کند که رفتار درب پشتی را با کم کردن هفت از آن و استفاده از نماد هگزادسیمال آن برای ایجاد پاسخ‌های مناسب، تعیین می‌کند. به‌عنوان‌مثال، اگر octet سوم ۱۴۵ باشد، مقدار تازه مشتق شده به ۱۳۸ (۰x8a) ترجمه می‌شود.

دستورات پشتیبانی شده توسط Msupedge در زیر لیست شده است:

  • ۰x8a: با استفاده از دستوری که از طریق رکورد DNS TXT دریافت می‌شود، فرآیندی ایجاد کنید.
  • ۰x75: فایل را با استفاده از URL دانلود دریافت شده از طریق رکورد DNS TXT دانلود کنید.
  • ۰x24: برای یک بازه زمانی از پیش تعیین‌شده بخوابید.
  • ۰x66: برای یک بازه زمانی از پیش تعیین‌شده بخوابید.
  • ۰x38: یک فایل موقت “%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp” ایجاد کنید که هدف آن ناشناخته است.
  • ۰x3c: فایل “%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp” را حذف کنید.

این توسعه زمانی صورت می‌گیرد که گروه تهدید [۶]UTG-Q-010 با یک کمپین فیشینگ جدید مرتبط است که از فریب‌های ارزهای دیجیتال و شغلی برای توزیع بدافزار منبع باز به نام [۷]Pupy RAT استفاده می‌کند.

سیمانتک گفت[۸]: «زنجیره حمله شامل استفاده از فایل‌های مخرب .lnk با یک بارگذار DLL تعبیه‌شده است که درنهایت به Pupy RAT پیاده‌سازی می‌شود.» Pupy یک تروجان دسترسی از راه دور مبتنی بر پایتون (RAT) با قابلیت بارگذاری بازتابی DLL و اجرای در حافظه و غیره است.

منابع

[۱] https://symantec-enterprise-blogs.security.com/threat-intelligence/taiwan-malware-dns

[۲] https://thehackernews.com/2024/07/php-vulnerability-exploited-to-spread.html

[۳] https://www.tenable.com/blog/cve-2024-4577-proof-of-concept-available-for-php-cgi-argument-injection-vulnerability

[۴] https://github.com/iagox86/dnscat2

[۵] https://en.wikipedia.org/wiki/Switch_statement

[۶] https://ti.qianxin.com/blog/articles/UTG-Q-010-Targeted-Attack-Campaign-Against-the-AI-and-Gaming-Industry-EN

[۷] https://thehackernews.com/2024/06/russian-power-companies-it-firms-and.html

[۸] https://www.broadcom.com/support/security-center/protection-bulletin/pupy-rat-distributed-in-recent-utg-q-010-apt-campaign

[۹] https://thehackernews.com/2024/08/hackers-exploit-php-vulnerability-to.html