El equipo de caza de amenazas de Symantec, parte de Broadcom, reveló en un informe que un backdoor notable se comunica con un servidor de comando y control (C&C) a través del tráfico DNS.
Se desconocen los orígenes y objetivos del ataque.
El vector de acceso inicial que facilitó la instalación de Msupedge parece estar relacionado con la explotación de la vulnerabilidad crítica recientemente revelada que afecta a PHP (CVE-2024-4577, puntuación de CVSS: 9.8), utilizada para lograr ejecución remota de código.
El backdoor es una biblioteca de vínculos dinámicos (DLL) instalada en las rutas «csidl_drive_fixed\xampp\» y «csidl_system\wbem\». Uno de los DLL, wuplog.dll, es iniciado por el servidor HTTP Apache (httpd). No está claro cuál es el proceso principal para el segundo DLL.
Msupedge depende del túnel DNS para comunicarse con el servidor C&C, con código basado en dnscat2, efectuando un proceso de resolución de nombres para recibir comandos.
Los comandos admitidos por Msupedge incluyen la creación de procesos, descarga de archivos, intervalos de tiempo predefinidos, y manipulación de archivos temporales.
Esta situación surge en medio de la relación del grupo de amenazas UTG-Q-010 con una nueva campaña de phishing que distribuye el malware Pupy RAT, utilizando señuelos relacionados con criptomonedas y empleo.
La cadena de ataque implica el uso de archivos .lnk maliciosos con un cargador de DLL incrustado, lo que da lugar a la implementación del payload de Pupy RAT, un troyano de acceso remoto (RAT) basado en Python.
Vía The Hacker News
