One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8561070 |
| Date de publication | 2024-08-20 21:42:29 (vue: 2024-08-20 22:18:27) |
| Titre | Nouveau ciblage de porte dérobée Taiwan emploie des communications furtives New Backdoor Targeting Taiwan Employs Stealthy Communications |
| Texte | #### Géolocations ciblées - Taiwan #### Industries ciblées - Éducation - Enseignement supérieur ## Instantané Des chercheurs de l'équipe de Hunter de Symantec \'s Threat ont identifié une nouvelle porte dérobée, Backdoor.MSUPEDED, utilisée dans une attaque contre une université à Taiwan. ## Description Selon Symantec, cette porte dérobée se distingue par son utilisation du trafic DNS pour communiquer avec le serveur de commande et de contrôle (C&C), une technique non couramment vue.MSUPEdge est une porte dérobée de la bibliothèque de liens dynamiques (DLL) trouvée dans des chemins de fichier spécifiques et utilise le tunneling DNS pour la communication avec le serveur C&C, sur la base de l'outil DNSCAT2 accessible au public.Il reçoit et exécute des commandes via le trafic DNS et code le résultat en tant que domaine de cinquième niveau avant de l'envoyer. La porte dérobée modifie également son comportement en fonction de l'adresse IP résolue du serveur C&C.L'intrusion initiale s'est probablement produite par l'exploit d'une vulnérabilité PHP récemment corrigée ([CVE-2024-4577] (https://security.microsoft.com/intel-profiles/cve-2024-4577?tab=description&)),ce qui peut conduire à l'exécution de code distant sur les systèmes Windows.Bien que les acteurs de menaces multiples aient parcouru des systèmes vulnérables, le motif derrière l'attaque reste inconnu et aucune preuve n'a permis d'attribuer la menace. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Exploit: Php / CVE-2024-4577] (https://www.microsoft.com/en-us/wdssi/atherets/malware-encycopedia-description?name=Exploit:php/CVE-2024-4577!msr& menaceID = -2147054383) - [Exploit: Python / CVE-2024-4577] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=Exploit:python/CVE-2024-4577!msr& ;thereatid=-2147054386) ** MIcrosoft Defender pour le point de terminaison ** Les alertes suivantes pourraient également indiquer une activité de menace associée à cette menace.Ces alertes, cependant, peuvent être déclenchées par une activité de menace sans rapport et ne sont pas surveillées dans les cartes d'état fournies avec ce rapport. - Exploitation de la vulnérabilité PHP-CGI - Processus MSHTA suspect lancé - Le comportement suspect par une application HTML a été observé - Fichier téléchargé à partir d'une source non fiable ## Recommandations [PHP a publié des correctifs pour ce numéro le 6 juin 2024] (https://www.php.net/changelog-8.php).Les clients qui n'ont pas corrigé pour le faire dès que possible pour la sécurité de leur organisation. Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defender-endpoint/network-protection). - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-eduction) pour empêcher les techniques d'attaque courantes: - [Block] (https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-raliles-reference) Les fichiers exécutables de l'exécution à moins qu'ils ne répondent à un critère de prévalence, d'âge ou de liste de confiance. - Exécutez la détection et la réponse des points de terminaison (EDR) en [Mode Block] (https://learn.microsoft.com/en-us/defender-endpoint/edr-in-block-mode). ## références [Le nouveau ciblage de la porte dérobée Taiwan emploie des communications furtives] (https://symantec-enterprise-blogs.security.com/thereat-intelligence/taiwan-malware-dns).Symantec (consulté en 2024-08-20) ## Copyright **&copie; |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | #### **© **microsoft 2024 2024** 2147054383 2147054386 4577 accessed according activity actors address against age alerts all allowed also although antivirus antivirus** any application are associated attack attribution available backdoor based been before behavior behind block blogs c&c can card cards cgi changes check code com/en com/intel com/threat command commands common commonly communicate communication communications components content control copyright criterion customers cve defender deployment description detection detections/hunting detects distribution dll dns dnscat2 domain downloaded dynamic edr education employs enable encodes encyclopedia endpoint endpoint** endpoint/attack endpoint/edr endpoint/network enterprise evidence executable executes execution exploit exploit:php/cve exploit:python/cve exploitation fifth file files following found from geolocations has have higher however html https://learn https://security https://symantec https://www hunter identified impact indicate industries initial intelligence/taiwan intrusion issue its june launched lead level library likely link list malware malware: meet microsoft might mitigations mode monitored motive mshta msr&threatid= msupedge multiple name=exploit:php/cve name=exploit:python/cve net/changelog network new not observed occurred organization out part patched patches paths permission php possible prevalence prevent process profiles/cve prohibited protection provided publicly queries receives recently recommendations recommends reduce reduction reference references released remains remote report reproduction researchers reserved resolved response result rights rules run running scanning security seen sending server site snapshot soon source specific stands status stealthy surface suspicious symantec systems tab=description& taiwan targeted targeting team technique techniques: thereof these threat through tool traffic triggered trusted tunneling turn university unknown unless unrelated untrusted us/defender us/wdsi/threats/malware use used uses vulnerability vulnerable which who windows without written |
| Tags | Malware Tool Vulnerability Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.