圈小蛙
研究人员发现了一个之前从未发现过的后门,该后门被用于攻击台湾一所大学。
据网络安全公司赛门铁克的研究人员称,为了感染受害者,恶意软件操作员可能利用了最近修补的PHP漏洞CVE-2024-4577。该漏洞主要影响使用中文和日语的Windows安装。
赛门铁克表示,成功利用该漏洞可导致远程代码执行。研究人员发现,最近几周,多个威胁行为者正在扫描存在漏洞的系统。
他们补充道:“到目前为止,我们还没有发现任何证据可以证明这次威胁的性质,袭击背后的动机仍然未知。”
赛门铁克称,攻击者部署了一个之前从未见过的后门 (Backdoor.Msupedge),该后门采用了一种不常见的技术。
Msupedge 不仅通过 DNS 流量接收命令,还将 C&C 服务器 (ctl.msedeapi[.]net) 的解析 IP 地址用作命令。解析后的 IP 地址的第三个八位字节是一个 switch case。后门的行为将根据解析后的 IP 地址的第三个八位字节的值减七而改变。例如,如果第三个八位字节是 145,则转换为 138(以十六进制表示为 0x8a)。
这种被他们称为Msupedge的恶意软件的特别之处在于,它使用一种称为域名系统(DNS)隧道的技术与黑客控制的服务器进行通信。
与HTTP或HTTPS隧道等更明显的方法相比,这种技术更难检测,因为DNS流量通常被认为是良性的,并且经常被安全工具忽视。
6月初,研究人员发现了一项疑似来自中国的黑客活动,名为RedJuliett,针对台湾数十个组织,包括大学、国家机构、电子产品制造商和宗教组织。
研究人员表示,与许多其他中国威胁行为者一样,该黑客组织可能瞄准防火墙和企业VPN等面向互联网的设备中的漏洞进行初始访问,因为这些设备的可视性和安全解决方案通常有限。
8月,据称一家从事敏感技术研究的台湾政府下属研究机构遭到APT41的攻击。黑客部署了ShadowPad恶意软件,并使用简体中文编写了其他几款工具。