行業新聞與博客

威脅分析人員在針對台灣大學的攻擊中發現了一種新的安全威脅，該威脅利用了一種罕見的基於 DNS 的通信方法。 

該後門被稱為 Backdoor.Msupedge，由賽門鐵克識別，它使用 DNS 流量與命令和控制 (C2) 服務器進行通信，這是一種已知技術，但網絡犯罪分子很少使用。

Msupedge 以動態鏈接庫 (DLL) 的形式運行，被發現安裝在受感染系統的特定文件路徑中。該 DLL 可以執行通過 DNS 查詢收到的命令；這種方法不僅有助於逃避檢測，還有助於對受感染的機器進行隱秘控制。

Msupedge 最顯著的特徵之一是它能夠根據 DNS 查詢中解析出的 IP 地址修改其行為。具體來説，解析後的 IP 地址的第三個八位字節用作開關來確定要執行的命令，包括創建進程、下載文件或使系統休眠指定的時間。

賽門鐵克解釋稱，這個新的後門支持多種命令，包括：

• 通過 DNS TXT 記錄創建進程

• 從通過 DNS 收到的 URL 下載文件

• 使受感染的機器進入睡眠模式長達 24 小時

• 刪除臨時文件

據信，最初的入侵是通過利用最近的 PHP 漏洞 (CVE-2024-4577) 發生的，該漏洞影響 Windows 上安裝的所有 PHP 版本。該漏洞是一個 CGI 參數注入漏洞，可導致遠程代碼執行，這對管理基於 Windows 的 Web 服務器的管理員來説是一個嚴重的問題。

賽門鐵克寫道：“最近幾周，賽門鐵克發現多個威脅行為者正在掃描易受攻擊的系統。到目前為止，我們還沒有發現任何證據來證明這一威脅的來源，攻擊背後的動機仍然未知。”

為了防範這種威脅，該安全公司在其有關 Msupedge 的最新公告中列出了一份入侵指標 (IoC)。