行业新闻与博客

威胁分析人员在针对台湾大学的攻击中发现了一种新的安全威胁，该威胁利用了一种罕见的基于 DNS 的通信方法。 

该后门被称为 Backdoor.Msupedge，由赛门铁克识别，它使用 DNS 流量与命令和控制 (C2) 服务器进行通信，这是一种已知技术，但网络犯罪分子很少使用。

Msupedge 以动态链接库 (DLL) 的形式运行，被发现安装在受感染系统的特定文件路径中。该 DLL 可以执行通过 DNS 查询收到的命令；这种方法不仅有助于逃避检测，还有助于对受感染的机器进行隐秘控制。

Msupedge 最显著的特征之一是它能够根据 DNS 查询中解析出的 IP 地址修改其行为。具体来说，解析后的 IP 地址的第三个八位字节用作开关来确定要执行的命令，包括创建进程、下载文件或使系统休眠指定的时间。

赛门铁克解释称，这个新的后门支持多种命令，包括：

• 通过 DNS TXT 记录创建进程

• 从通过 DNS 收到的 URL 下载文件

• 使受感染的机器进入睡眠模式长达 24 小时

• 删除临时文件

据信，最初的入侵是通过利用最近的 PHP 漏洞 (CVE-2024-4577) 发生的，该漏洞影响 Windows 上安装的所有 PHP 版本。该漏洞是一个 CGI 参数注入漏洞，可导致远程代码执行，这对管理基于 Windows 的 Web 服务器的管理员来说是一个严重的问题。

赛门铁克写道：“最近几周，赛门铁克发现多个威胁行为者正在扫描易受攻击的系统。到目前为止，我们还没有发现任何证据来证明这一威胁的来源，攻击背后的动机仍然未知。”

为了防范这种威胁，该安全公司在其有关 Msupedge 的最新公告中列出了一份入侵指标 (IoC)。