Nueva amenaza de puerta trasera descubierta | DKCERT
Los analistas de amenazas de Symantec descubrieron una nueva amenaza a la seguridad en un ataque dirigido a una universidad en Taiwán.
Eso es lo que escribe la revista Infosecurity.
Según se informa, la amenaza utiliza un método de comunicación basado en DNS rara vez visto en el que una puerta trasera, llamada Backdoor.Msupedge, se comunica con un servidor de comando y control (C2) mediante tráfico DNS.
Según se informa, Msupedge funciona como una biblioteca de vínculos dinámicos (DLL) y se ha encontrado instalado en rutas de archivos específicas en los sistemas comprometidos. La DLL puede ejecutar comandos recibidos a través de consultas DNS. Al parecer, es un método que no sólo ayuda a evitar la detección, sino que también facilita el control de las máquinas infectadas.
La revista Infosecurity escribe que una de las características más distintivas de Msupedge es su capacidad de cambiar su comportamiento en función de la dirección IP resuelta de la consulta DNS. Específicamente, el tercer octeto de la dirección IP resuelta se utiliza como un interruptor para determinar el comando a ejecutar, desde la creación de procesos hasta la descarga de archivos o poner el sistema en suspensión por un período específico.
Symantec explica en su informe que esta nueva puerta trasera admite varios comandos, entre ellos:
- Crear un proceso a través de registros DNS TXT
- Descargar archivos de URL recibidas a través de DNS
- Establecer estados de hibernación en la máquina infectada por hasta 24 horas
- Eliminar archivos temporales
Se cree que la primera intrusión se produjo mediante la explotación de una vulnerabilidad de PHP (CVE-2024-4577), que se publicó a mediados de julio y afectó a todas las versiones de PHP instaladas en Windows. Este error puede provocar la ejecución remota de código.
El descubrimiento de Symantec muestra así para qué (también) se puede utilizar la ejecución remota de código.
Campo de golf:
https://www.infosecurity-magazine.com/news/dns-based-backdoor-taiwanese/
https://cert.dk/da/news/2024-06-11/Ny-PHP-saarbarhed-goer-Windows-servere-saarbare