אקרים מצאו דרך חדשה לפרוץ למערכות Windows

אוניברסיטה בטייוואן הותקפה באמצעות דלת אחורית של חלונות, שלא תועדה בעבר, המשתמשת בשיטת תקשורת רגילה, אך לא חדשה לחלוטין.

חוקרי אבטחת סייבר מצוות Symantec Threat Hunter פרסמו את ממצאיהם ב-Msupedge, אשר תוכננה כספריית קישורים דינמית (.DLL) עם תכונה ייחודית במיוחד של תקשורת עם ה-C2 באמצעות תעבורת DNS.

Msupedge מעניקה למפעיליה את היכולת ליצור תהליכים בנקודת הקצה, להוריד קבצים, להעביר אותם למצב שינה למשך פרק זמן קבוע מראש, ליצור קובץ זמני (מטרה לא ידועה) ולמחוק את הקובץ האמור.

פרטים מרכזיים חסרים

"התכונה הבולטת ביותר של דלת אחורית זו היא שהיא מתקשרת עם שרת פקודה ובקרה (C&C) באמצעות תעבורת DNS", אמרו החוקרים בדו"ח שלהם. "Msupedge משתמש במנהור DNS לתקשורת עם שרת ה-C&C. הקוד לכלי מנהור ה-DNS מבוסס על כלי dnscat2 הזמין לציבור. הוא מקבל פקודות על ידי ביצוע זיהוי שמות."

החוקרים הוסיפו כי הטכניקה ידועה, ונמצאת בשימוש על ידי "גורמי איום מרובים". "עם זאת, זהו דבר שלא נראה לעתים קרובות".

אנחנו גם לא יודעים בדיוק מה חיפשו גורמי האיום, או אם הם מצאו את זה. אנחנו כן יודעים שהם פרצו למכשירים של הקורבן באמצעות פגיעות PHP המאפשרת ביצוע קוד מרחוק (RCE). הפגיעות, שסומנה כ-CVE-2024-4577, נושאת ציון חומרה של 9.8/10, מה שהופך אותה לפגם קריטי.

פרטים חשובים נוספים עדיין חסרים – מכיוון שלא ידוע מי הם גורמי האיום מאחורי המתקפה, או מי הקורבן (מלבד שמדובר באוניברסיטה אנונימית בטייוואן).

בהתחשב באקלים הפוליטי הנוכחי, נוכל רק לשער שמדובר בעבודתה של קבוצה בחסות מדינה סינית המנהלת קמפיינים של ריגול סייבר, המכוונים נגד אינטלקטואלים וחברי אקדמיה אחרים. וולט טייפון הוא ארגון כזה, שנצפה בעבר, מנהל קמפיינים דומים.

דרך TheHackerNews

• מתקין דלת אחורית ערמומי זה מעניק להאקרים שליטה מלאה על מכשירי בית משפט
• הנה רשימה של תוכנות חומת האש הטובות ביותר שקיימות כיום
• אלו הם כלי אבטחת נקודות הקצה הטובים ביותר כרגע