20 de agosto de 2024Ravie LakshmananVulnerabilidad / Inteligencia de amenazas Una puerta trasera no documentada anteriormente llamada Msupedge se ha utilizado contra un ciberataque dirigido a una universidad anónima en Taiwán. «La característica más notable de esta puerta trasera es que se comunica con un servidor de comando y control (C&C) a través del tráfico DNS», dijo el equipo de cazadores de amenazas de Symantec, parte de Broadcom, en un informe compartido con The Hacker News. Los orígenes de la puerta trasera son actualmente desconocidos, al igual que los objetivos detrás del ataque. Se dice que el vector de acceso inicial que probablemente facilitó la implementación de Msupedge implica la explotación de una falla crítica recientemente revelada que afecta a PHP (CVE-2024-4577, puntuación CVSS: 9.8), que podría usarse para lograr la ejecución remota de código. La puerta trasera en cuestión es una biblioteca de vínculos dinámicos (DLL) que se instala en las rutas «csidl_drive_fixed\xampp\» y «csidl_system\wbem\». Una de las DLL, wuplog.dll, es lanzada por el servidor HTTP Apache (httpd). El proceso padre de la segunda DLL no está claro. El aspecto más notable de Msupedge es su dependencia de la tunelización DNS para la comunicación con el servidor C&C, con código basado en la herramienta de código abierto dnscat2. «Recibe comandos realizando la resolución de nombres», señaló Symantec. «Msupedge no solo recibe comandos a través del tráfico DNS, sino que también utiliza la dirección IP resuelta del servidor C&C (ctl.msedeapi).[.]net) como un comando.» Específicamente, el tercer octeto de la dirección IP resuelta funciona como un caso de conmutación que determina el comportamiento de la puerta trasera al restarle siete y usar su notación hexadecimal para activar las respuestas apropiadas. Por ejemplo, si el tercer octeto es 145, el valor recién derivado se traduce a 138 (0x8a). Los comandos admitidos por Msupedge se enumeran a continuación: 0x8a: crear un proceso utilizando un comando recibido a través de un registro TXT de DNS 0x75: descargar archivo utilizando una URL de descarga recibida a través de un registro TXT de DNS 0x24: suspender durante un intervalo de tiempo predeterminado 0x66: suspender durante un intervalo de tiempo predeterminado 0x38: crear un archivo temporal «%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp» cuyo propósito es desconocido 0x3c: eliminar el archivo «%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp» El desarrollo se produce después de que el grupo de amenazas UTG-Q-010 se haya vinculado a una nueva campaña de phishing que aprovecha los señuelos relacionados con las criptomonedas y el trabajo para distribuir un malware de código abierto llamado Pupy RAT. «La cadena de ataque implica el uso de archivos .lnk maliciosos con un cargador de DLL integrado, que termina en la implementación de la carga útil de Pupy RAT», dijo Symantec. «Pupy es un troyano de acceso remoto (RAT) basado en Python con funcionalidad para la carga reflexiva de DLL y ejecución en memoria, entre otras». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.