Msupedge: неизвестный бэкдор скрывается в обычном DNS-трафике

В результате кибератаки на один из университетов Тайваня была выявлена ранее неизвестная вредоносная программа, которая получила условное название Backdoor.Msupedge. Программа отличается уникальным методом связи с C2-сервером через DNS-трафик. Специалисты Symantec рассказали в отчете о своей находке.

Backdoor.Msupedge представляет собой бэкдор, выполненный в виде динамической библиотеки (DLL). Эксперты обнаружили вредоносное ПО в двух различных директориях на атакованной системе: в каталоге, используемом Apache, и в системной папке, где DLL обычно связывается с WMI (Windows Management Instrumentation). Основная задача программы — получение команд от злоумышленников через процесс разрешения доменных имен.

Для коммуникации с сервером управления Backdoor.Msupedge использует метод DNS-туннелирования, основанный на общедоступном инструменте dnscat2, который позволяет атакующим передавать команды посредством разрешения доменных имен. Например, при разрешении определённого доменного имени, программа получает IP-адрес сервера управления, который используется для выполнения команд на зараженной системе.

Программа поддерживает множество различных команд, включая создание процессов, загрузку файлов, временную приостановку работы и создание временных файлов. При этом выполнение каждой команды сопровождается обратной связью, которая включает информацию о выделении памяти, декомпрессии и успешности выполнения задач. Эти данные передаются злоумышленникам также через DNS-запросы, что позволяет скрыть активность вредоносной программы.

Особое внимание заслуживает механизм изменения поведения программы в зависимости от значений отдельных октетов (Octet) IP-адреса, который возвращается при разрешении доменного имени. Например, один из возможных сценариев — использование третьего октета адреса, который после определённых математических операций определяет, какую именно команду выполнит бэкдор.

Предполагается, что начальная фаза заражения была осуществлена с помощью эксплуатации недавно обнаруженной уязвимости в PHP CVE-2024-4577 (оценка CVSS: 9.8). RCE-недостаток возник из-за ошибки в обработке аргументов CGI на системах Windows. Ошибка в первую очередь затрагивает Windows на китайском и японском языках. Несмотря на то, что уязвимость была недавно устранена, многие системы остаются под угрозой, и в последние недели было зафиксировано множество попыток эксплуатации.

Пока что исследователям не удалось установить, кто стоит за атакой, а также неясны мотивы злоумышленников. Тем не менее, использование такой сложной техники коммуникации и скрытности указывает на высокую квалификацию разработчиков Backdoor.Msupedge, что делает угрозу особенно опасной. Эксперты призывают владельцев уязвимых систем немедленно обновить программное обеспечение и обратить особое внимание на необычный DNS-трафик, который может свидетельствовать о наличии угрозы.

C ноября 2023 по апрель 2024 года исследователями Insikt Group была зафиксирована кибершпионская кампания, направленная на государственные, академические, технологические и дипломатические организации Тайваня. По данным специалистов, за этими атаками стоит кибергруппа RedJuliett, предположительно связанная с Китаем и действующая из города Фучжоу.