Tayvan’daki ismi açıklanmayan bir üniversiteyi hedef alan siber saldırıya karşı Msupedge isimli daha önce belgelenmemiş bir arka kapı kullanıldı.
Broadcom’un bir parçası olan Symantec Threat Hunter Ekibi, The Hacker News ile paylaştığı raporda, “Bu arka kapının en dikkat çekici özelliği, DNS trafiği aracılığıyla bir komuta ve kontrol (C&C) sunucusuyla iletişim kurmasıdır” dedi.
Arka kapının kökeni ve saldırının amacı henüz bilinmiyor.
Msupedge’in dağıtımını kolaylaştıran ilk erişim vektörünün, uzaktan kod yürütmeyi sağlamak için kullanılabilen, yakın zamanda açıklanan PHP’yi etkileyen kritik bir kusurun (CVE-2024-4577, CVSS puanı: 9,8) istismarını içerdiği söyleniyor.
Söz konusu arka kapı, “csidl_drive_fixed\xampp\” ve “csidl_system\wbem\” yollarına yüklenen bir dinamik bağlantı kitaplığıdır (DLL). DLL’lerden biri olan wuplog.dll, Apache HTTP sunucusu (httpd) tarafından başlatılır. İkinci DLL için ana işlem belirsizdir.
Msupedge’in en dikkat çekici yönü, açık kaynaklı dnscat2 aracını temel alan kodla, C&C sunucusuyla iletişim için DNS tünellemesine dayanmasıdır.
“Ad çözümlemesi yaparak komutları alır,” diye belirtti Symantec. “Msupedge yalnızca DNS trafiği üzerinden komutları almaz, aynı zamanda C&C sunucusunun çözümlenmiş IP adresini de kullanır (ctl.msedeapi[.]net) bir emir olarak kullanılmıştır.”
Özellikle, çözülmüş IP adresinin üçüncü okteti, arka kapının davranışını yediyi çıkararak ve onaltılık gösterimini kullanarak uygun yanıtları tetikleyerek belirleyen bir anahtar durumu işlevi görür. Örneğin, üçüncü oktet 145 ise, yeni türetilen değer 138’e (0x8a) çevrilir.
Msupedge tarafından desteklenen komutlar aşağıda listelenmiştir –
- 0x8a: DNS TXT kaydı aracılığıyla alınan bir komutu kullanarak bir işlem oluşturun
- 0x75: Bir DNS TXT kaydı aracılığıyla alınan bir indirme URL’sini kullanarak dosyayı indirin
- 0x24: Önceden belirlenmiş bir zaman aralığı boyunca uyu
- 0x66: Önceden belirlenmiş bir zaman aralığı boyunca uyu
- 0x38: Amacı bilinmeyen “%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp” adlı geçici bir dosya oluşturun
- 0x3c: “%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp” dosyasını silin
Gelişme, UTG-Q-010 tehdit grubunun, Pupy RAT adı verilen açık kaynaklı bir kötü amaçlı yazılımı dağıtmak için kripto para birimi ve iş amaçlı yemlerden yararlanan yeni bir kimlik avı kampanyasıyla ilişkilendirilmesinin ardından geldi.
Symantec, “Saldırı zinciri, gömülü bir DLL yükleyicisi olan kötü amaçlı .lnk dosyalarının kullanımını içerir ve Pupy RAT yük dağıtımında son bulur,” dedi. “Pupy, diğerlerinin yanı sıra yansıtıcı DLL yükleme ve bellek içi yürütme işlevlerine sahip Python tabanlı bir Uzaktan Erişim Truva Atı’dır (RAT).