Útočníci našli nová zadní vrátka do Windows
Zpět na blogNa tchajwanské univerzitě byl odhalen kybernetický útok, který využívá dosud neznámá zadní vrátka do systému Windows. Tato zadní vrátka využívají nezvyklý způsob komunikace.
Výzkumný tým ze společnosti Symantec Threat Hunter Team nedávno objevil malware nazvaný Msupedge, který je navržen jako dynamická knihovna (.DLL). Tento malware je zajímavý tím, že komunikuje s C&C serverem (C2) pomocí DNS provozu. Tento způsob komunikace, známý jako DNS tunneling, je sice známou metodou, ale k útokům se příliš často nevyužívá.
Msupedge poskytuje útočníkům širokou škálu možností, včetně vytváření nových procesů na napadeném zařízení, stahování a mazání souborů, nastavení časových přerušení činnosti a vytváření dočasných souborů, jejichž účel zatím není jasný. Malware využívá DNS tunelování k přenosu příkazů a komunikaci s C2 serverem, čímž skrývá své aktivity před běžnými bezpečnostními kontrolami.
Útočníci získali přístup k univerzitnímu systému prostřednictvím zranitelnosti v PHP, označené jako CVE-2024-4577, která umožňuje vzdálené spuštění kódu. Tato zranitelnost je považována za kritickou, s hodnocením závažnosti 9,8 z 10.
Dosud není známo, kdo přesně za útokem stojí, ani kdo byl obětí, kromě toho, že jde o univerzitu v Tchaj-wanu.
Vzhledem k politickému napětí v regionu existují spekulace, že by za útokem mohla stát čínská státem podporovaná hackerská skupina zaměřené na kybernetickou špionáž. Skupina Volt Typhoon je jedním z možných kandidátů, která již v minulosti prováděla podobné operace zaměřené na akademické instituce.
Útočníci neustále hledají nové způsoby, jak obejít bezpečnostní opatření a proniknout do systémů. Organizace musí pravidelně aktualizovat své systémy a udržovat si přehled o nejnovějších typech hrozeb, aby minimalizovaly riziko podobných útoků a zajistily dostatečnou ochranu.
Zdroj: Techradar
9. 9. 2024