Clicky

Hackers aprovechan una vulnerabilidad de PHP para implementar una puerta trasera oculta

puerta trasera Msupedge

Llamada Msupedge, utiliza una biblioteca de vínculos dinámicos (DLL)

Una puerta trasera previamente no documentada llamada Msupedge ha sido utilizada contra un ciberataque dirigido contra una universidad anónima en Taiwán.

"La característica más notable de esta puerta trasera es que se comunica con un servidor de comando y control (C&C) a través del tráfico DNS", dijo en un informe el equipo Symantec Threat Hunter, parte de Broadcom.

Actualmente se desconocen los orígenes de la puerta trasera, así como los objetivos detrás del ataque.

Se dice que el vector de acceso inicial que probablemente facilitó la implementación de Msupedge involucra la explotación de una falla crítica recientemente revelada que afecta a PHP (CVE-2024-4577, puntaje CVSS: 9.8), que podría usarse para lograr la ejecución remota de código.

La puerta trasera en cuestión es una biblioteca de vínculos dinámicos (DLL) que está instalada en las rutas "csidl_drive_fixed\xampp\" y "csidl_system\wbem\". Una de las DLL, wuplog.dll, es ejecutada por el servidor HTTP Apache (httpd). No está claro cuál es el proceso principal de la segunda DLL.

El aspecto más notable de Msupedge es su dependencia de la tunelización DNS para la comunicación con el servidor C&C, con código basado en la herramienta de código abierto dnscat2.

"Recibe comandos mediante la resolución de nombres", señaló Symantec. "Msupedge no solo recibe comandos a través del tráfico DNS, sino que también utiliza la dirección IP resuelta del servidor C&C (ctl.msedeapi[.]net) como comando".

Específicamente, el tercer octeto de la dirección IP resuelta funciona como un declaración de interruptor que determina el comportamiento de la puerta trasera restándole siete y usando su notación hexadecimal para activar las respuestas apropiadas. Por ejemplo, si el tercer octeto es 145, el valor recién derivado se traduce a 138 (0x8a).

Este desarrollo se produce cuando el grupo de amenazas UTG-Q-010 ha sido vinculado a una nueva campaña de phishing que aprovecha los señuelos relacionados con las criptomonedas y el trabajo para distribuir un malware de código abierto llamado Pupy RAT.

"La cadena de ataque implica el uso de archivos .lnk maliciosos con un cargador DLL incorporado, que termina en la implementación de la carga útil Pupy RAT", dijo Symantec. "Pupy es un troyano de acceso remoto (RAT) basado en Python con funcionalidad para carga reflexiva de DLL y ejecución en memoria, entre otras".

Jesus_Caceres