井底圈小蛙
关注科技圈

赛门铁克称,黑客针对台湾大学部署了新的恶意软件Msupedge

研究人员发现了一个之前从未发现过的后门,该后门被用于攻击台湾一所大学。

据网络安全公司赛门铁克的研究人员称,为了感染受害者,恶意软件操作员可能利用了最近修补的PHP漏洞CVE-2024-4577。该漏洞主要影响使用中文和日语的Windows安装。

赛门铁克表示,成功利用该漏洞可导致远程代码执行。研究人员发现,最近几周,多个威胁行为者正在扫描存在漏洞的系统。

他们补充道:“到目前为止,我们还没有发现任何证据可以证明这次威胁的性质,袭击背后的动机仍然未知。”

赛门铁克称,攻击者部署了一个之前从未见过的后门 (Backdoor.Msupedge),该后门采用了一种不常见的技术。 

Msupedge 不仅通过 DNS 流量接收命令,还将 C&C​​ 服务器 (ctl.msedeapi[.]net) 的解析 IP 地址用作命令。解析后的 IP 地址的第三个八位字节是一个 switch case。后门的行为将根据解析后的 IP 地址的第三个八位字节的值减七而改变。例如,如果第三个八位字节是 145,则转换为 138(以十六进制表示为 0x8a)。

这种被他们称为Msupedge的恶意软件的特别之处在于,它使用一种称为域名系统(DNS)隧道的技术与黑客控制的服务器进行通信。

与HTTP或HTTPS隧道等更明显的方法相比,这种技术更难检测,因为DNS流量通常被认为是良性的,并且经常被安全工具忽视。

6月初,研究人员发现了一项疑似来自中国的黑客活动,名为RedJuliett,针对台湾数十个组织,包括大学、国家机构、电子产品制造商和宗教组织。

研究人员表示,与许多其他中国威胁行为者一样,该黑客组织可能瞄准防火墙和企业VPN等面向互联网的设备中的漏洞进行初始访问,因为这些设备的可视性和安全解决方案通常有限。

8月,据称一家从事敏感技术研究的台湾政府下属研究机构遭到APT41的攻击。黑客部署了ShadowPad恶意软件,并使用简体中文编写了其他几款工具。

圈小蛙现已开通Telegram。单击此处加入我们的频道 (@quanxiaowa)并随时了解最新科技圈动态!

除特别注明外,本站所有文章均系根据各大境内外消息渠道原创,转载请注明出处。
文章名称:《赛门铁克称,黑客针对台湾大学部署了新的恶意软件Msupedge》
文章链接:https://www.qxwa.com/hackers-deploy-new-malware-msupedge-against-taiwan-university-symantec-says.html
分享到: 生成海报

评论 抢沙发

科技圈动态,尽在圈小蛙

联系我们关注我们