行業新聞與部落格

威脅分析人員在針對臺灣大學的攻擊中發現了一種新的安全威脅，該威脅利用了一種罕見的基於 DNS 的通訊方法。 

該後門被稱為 Backdoor.Msupedge，由賽門鐵克識別，它使用 DNS 流量與命令和控制 (C2) 伺服器進行通訊，這是一種已知技術，但網路犯罪分子很少使用。

Msupedge 以動態連結庫 (DLL) 的形式執行，被發現安裝在受感染系統的特定檔案路徑中。該 DLL 可以執行透過 DNS 查詢收到的命令；這種方法不僅有助於逃避檢測，還有助於對受感染的機器進行隱秘控制。

Msupedge 最顯著的特徵之一是它能夠根據 DNS 查詢中解析出的 IP 地址修改其行為。具體來說，解析後的 IP 地址的第三個八位位元組用作開關來確定要執行的命令，包括建立程序、下載檔案或使系統休眠指定的時間。

賽門鐵克解釋稱，這個新的後門支援多種命令，包括：

• 透過 DNS TXT 記錄建立程序

• 從透過 DNS 收到的 URL 下載檔案

• 使受感染的機器進入睡眠模式長達 24 小時

• 刪除臨時檔案

據信，最初的入侵是透過利用最近的 PHP 漏洞 (CVE-2024-4577) 發生的，該漏洞影響 Windows 上安裝的所有 PHP 版本。該漏洞是一個 CGI 引數注入漏洞，可導致遠端程式碼執行，這對管理基於 Windows 的 Web 伺服器的管理員來說是一個嚴重的問題。

賽門鐵克寫道：“最近幾周，賽門鐵克發現多個威脅行為者正在掃描易受攻擊的系統。到目前為止，我們還沒有發現任何證據來證明這一威脅的來源，攻擊背後的動機仍然未知。”

為了防範這種威脅，該安全公司在其有關 Msupedge 的最新公告中列出了一份入侵指標 (IoC)。