Hacker haben möglicherweise einen völlig neuen Weg gefunden, um in Windows-Systeme einzudringen.

Eine Universität in Taiwan wurde mit einem bisher nicht dokumentierten Windows-Hintertürangriff angegriffen, der eine ungewöhnliche, aber nicht ganz neue Kommunikationsmethode verwendet.

Cybersecurity-Forscher des Symantec Threat Hunter Teams veröffentlichten ihre Erkenntnisse zu Msupedge, das als Dynamic Link Library (.DLL) gestaltet ist und eine besonders auffällige Funktion hat: die Kommunikation mit dem C2 über DNS-Verkehr.

Msupedge gewährt seinen Betreibern die Fähigkeit, Prozesse auf dem Zielendpunkt zu erstellen, Dateien herunterzuladen, für einen vorher festgelegten Zeitraum zu pausieren, eine temporäre Datei zu erstellen (Zweck unbekannt) und diese Datei anschließend zu löschen.

Fehlende Schlüsseldetails
„Das bemerkenswerteste Merkmal dieser Hintertür ist, dass sie mit einem Command-and-Control (C&C)-Server über DNS-Verkehr kommuniziert“, sagten die Forscher in ihrem Bericht. „Msupedge verwendet DNS-Tunneling für die Kommunikation mit dem C&C-Server. Der Code für das DNS-Tunneling-Tool basiert auf dem öffentlich verfügbaren dnscat2-Tool. Es empfängt Befehle, indem es eine Namensauflösung durchführt.“

Die Forscher fügten hinzu, dass die Technik bekannt sei und von „mehreren Bedrohungsakteuren“ verwendet worden sei. „Es ist jedoch etwas, das nicht oft zu sehen ist.“

Wir wissen auch nicht genau, wonach die Bedrohungsakteure gesucht haben oder ob sie es gefunden haben. Wir wissen jedoch, dass sie in die Geräte des Opfers über eine PHP-Sicherheitsanfälligkeit eingedrungen sind, die Remote Code Execution (RCE) ermöglicht. Die Schwachstelle, die als CVE-2024-4577 verfolgt wird, hat eine Schwerebewertung von 9,8/10 und ist somit ein kritischer Fehler.

Andere wichtige Details fehlen weiterhin – es ist unklar, wer die Bedrohungsakteure hinter dem Angriff sind oder wer das Opfer ist (außer dass es sich um eine nicht genannte Universität in Taiwan handelt).

Angesichts des aktuellen politischen Klimas können wir nur spekulieren, dass dies das Werk einer staatlich unterstützten Gruppe aus China sein könnte, die Cyber-Esionskampagnen durchführt und sich auf Intellektuelle und andere Mitglieder der Akademie konzentriert. Volt Typhoon ist eine solche Organisation, die in der Vergangenheit bei ähnlichen Kampagnen beobachtet wurde.

Hacker haben möglicherweise einen völlig neuen Weg gefunden, um in Windows-Systeme einzudringen.

Das Vereinigte Königreich bestätigt weder noch bestreitet es, die Verschlüsselung zu beseitigen.

Welche Auswirkungen haben die neuen Exportbeschränkungen der USA für KI-Chips auf Europa?

Jeder wird mit künstlicher Intelligenz Landwirtschaft betreiben können.

Crafting IT. Perfecting Projects.
Advising Business.

Stay in touch

Contact Us

Address

Bilişim Teknolojileri Tasarlamak. Projeleri
Mükemmelleştirmek. İşletmelere Danışmanlık Yapmak.

Bağlantıda kalın

Bize Ulaşın

Adres

Danışmanlık

Hakkımızda

Kariyer

Blog

IT gestalten. Projekte perfektionieren.
Unternehmen beraten.

Bleiben Sie in Kontakt

Kontaktieren Sie uns

Adresse

Beratung

Über uns

Karriere

Der Blog

Hacker haben möglicherweise einen völlig neuen Weg gefunden, um in Windows-Systeme einzudringen.

You may also like