سوء استفاده هکرها از آسیب پذیری PHP برای استقرار بکدور Msupedge

Msupedge Backdoor - بکدور Msupedge

یک بدافزار جدید به نام بکدور Msupedge با استفاده از تکنیکی کمتر دیده شده در حمله‌ای علیه دانشگاهی در تایوان مورد استفاده قرار گرفته است.

قابل توجه ترین ویژگی Msupedge این است که توسط ترافیک DNS با سرور فرماندهی و کنترل (C&C) خود ارتباط برقرار می‌کند. منشا این بکدور و اهداف پشت این حمله در حال حاضر ناشناخته است.

بردار دسترسی اولیه که احتمالاً استقرار بکدور Msupedge را تسهیل می‌کند، شامل سوء استفاده از یک نقص مهم اخیراً فاش شده است که بر PHP تأثیر می‌گذارد (CVE-2024-4577، امتیاز CVSS: 9.8) و می‌تواند برای دستیابی به اجرای کد از راه دور مورد استفاده قرار گیرد.

 

تحلیل و بررسی بکدور Msupedge

بکدور Msupedge یک کتابخانه پیوند پویا (DLL) است که در مسیرهای “csidl_drive_fixed\xampp\” و “csidl_system\wbem\” نصب می‌شود. یکی از DLLها، یعنی wuplog.dll، توسط سرور HTTP آپاچی (httpd) راه اندازی شده است. فرآیند والد برای DLL دوم نامشخص می‌باشد.

قابل توجه‌ترین جنبه بکدور Msupedge، اتکای آن به DNS tunneling  برای ارتباط با سرور C&C با کد مبتنی بر ابزار منبع باز dnscat2 است. این بکدور نه تنها دستورات را از طریق ترافیک DNS دریافت می‌کند، بلکه از آدرس آیپی resolve شده سرور C&C (ctl.msedeapi[.]net) نیز به عنوان دستور استفاده می‌کند.

اکتت سوم آدرس آیپی resolve شده، به ‌عنوان یک مورد سوئیچ عمل می‌کند که رفتار بکدور را با کم کردن عدد هفت از آن و استفاده از نماد هگزادسیمال، تعیین می‌کند. به عنوان مثال، اگر اکتت سوم 145 باشد، مقدار تازه مشتق شده به 138 (0x8a) ترجمه می‌شود.

بکدور Msupedge
بازیابی آدرس آیپی resolve شده

دستورات پشتیبانی شده توسط بکدور Msupedge به شرح زیر است:

  • 0x8a: با استفاده از دستوری که از طریق رکورد  TXT در DNS دریافت می‌شود، فرآیندی را ایجاد می‌کند.
  • 0x75: فایل را با استفاده از URL دانلود دریافت شده از طریق رکورد TXT دانلود می‌کند.
  • 0x24: برای یک بازه زمانی از پیش تعیین شده sleep می‌شود (ip_4 * 86400 * 1000 ms).
  • 0x66: برای یک بازه زمانی از پیش تعیین شده sleep می‌شود (ip_4 * 3600 * 1000 ms).
  • 0x38: یک فایل موقت “%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp” ایجاد می‌کند که هدف آن ناشناخته است.
  • 0x3C: فایل “temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp%” را حذف می‌کند.

 

حملات مشابه

چندی پیش نیز یک مؤسسه تحقیقاتی وابسته به دولت تایوان که از اوایل جولای ۲۰۲۳ شروع به کار کرده است، توسط گروه‌های سایبری مرتبط با چین، مورد نفوذ قرار گرفت. الگوی فعالیت این حمله سایبری با گروه چینی APT41 مطابقت دارد.

سیسکو تالوس در اوت 2023، دستورات غیرعادی PowerShell را شناسایی کرد که به یک آدرس IP متصل می‌شدند تا اسکریپت‌های PowerShell را در محیط یک موسسه تحقیقاتی وابسته به دولت تایوان دانلود و اجرا کنند. ماهیت کار تحقیق و توسعه این موسسه، آن را به یک هدف ارزشمند برای هکرها تبدیل کرده است.

بردار دسترسی اولیه دقیق مورد استفاده در حمله مشخص نیست، اما شامل استفاده از یک شل وب برای حفظ دسترسی و استقرار پیلودهای بیشتر مانند ShadowPad و Cobalt Strike می‌باشد. گزارش کامل این خبر را می‌توانید از اینجا بخوانید.

 

منابع