MadMxShell Backdoor
Google ļaunprātīgas reklamēšanas shēma izmanto vietņu grupu, kas atdarina likumīgu IP skenera programmatūru, lai izplatītu jaunatklāto aizmugures durvis ar nosaukumu MadMxShell. Uzbrucēji ir reģistrējuši daudzus līdzīga izskata domēnus, izmantojot drukas kļūdu, un izmanto Google Ads, lai šīs vietnes palielinātu meklēšanas rezultātos, atlasot konkrētus atslēgvārdus, lai piesaistītu nenojaušus apmeklētājus.
No 2023. gada novembra līdz 2024. gada martam tika reģistrēti aptuveni 45 domēni, kas uzdodas par dažādām portu skenēšanas un IT pārvaldības programmām, piemēram, Advanced IP Scanner, Angry IP Scanner, IP Scanner PRTG un ManageEngine.
Lai gan ļaunprātīgas programmatūras izplatīšanai viltotās vietnēs ir izmantota ļaunprātīgas izmantošanas taktika, šis incidents ir pirmais gadījums, kad šāda metode tiek izmantota, lai izplatītu sarežģītas Windows aizmugures durvis.
Satura rādītājs
Aktieri vilina lietotājus ar viltotām vietnēm, lai nodrošinātu spēcīgu Backdoor ļaunprātīgu programmatūru
Lietotāji, kuri meklē šos rīkus, tiek novirzīti uz krāpnieciskām vietnēm, kurās ir JavaScript kods, kas aktivizē ļaunprātīga faila ar nosaukumu Advanced-ip-scanner.zip lejupielādi, kad tiek noklikšķināts uz lejupielādes pogas.
ZIP arhīvā ir divi faili: "IVIEWERS.dll" un "Advanced-ip-scanner.exe". Pēdējā izmanto DLL sānu ielādi, lai ielādētu IVIEWERS.dll un sāktu inficēšanās procesu.
DLL fails ievada iegulto čaulas kodu "Advanced-ip-scanner.exe" procesā, izmantojot metodi, ko sauc par procesa dobumu. Pēc tam ievadītais EXE fails izpako divus papildu failus – 'OneDrive.exe' un 'Secur32.dll'.
Likumīgi parakstītais Microsoft binārais fails OneDrive.exe tiek izmantots, lai ielādētu failu Secur32.dll un izpildītu čaulas koda aizmugures durvis. Iepriekš ļaunprogrammatūra nodrošina resursdatora noturību, izveidojot ieplānotu uzdevumu un atspējojot Microsoft Defender Antivirus.
MadMxShell Backdoor veic daudzas draudīgas darbības
MadMxShell aizmugures durvis, kas nosauktas par DNS MX vaicājumu izmantošanu Command-and-Control (C2), ir izstrādātas, lai apkopotu sistēmas datus, izpildītu komandas, izmantojot cmd.exe, un veiktu tādas pamata failu darbības kā failu lasīšana, rakstīšana un dzēšana.
Lai sazinātos ar savu C2 serveri ("litterbolo.com"), tas kodē datus pilnībā kvalificētā domēna nosaukuma (FQDN) apakšdomēnos DNS pasta apmaiņas (MX) vaicājumu paketēs un atšifrē atbildes paketēs iegultās komandas.
Izmantojot tādas taktikas kā daudzpakāpju DLL sānu ielāde un DNS tunelēšana C2 komunikācijai, aizmugures durvis cenšas izvairīties no galapunkta un tīkla drošības pasākumiem. Turklāt tajā tiek izmantotas izvairīšanās metodes, piemēram, antidempings, lai kavētu atmiņas analīzi un kavētu kriminālistikas drošības pasākumus.
Draudu aktierim aiz MadMxShell Backdoor ir nezināmi mērķi
Pašlaik nav skaidru norādes par ļaunprātīgas programmatūras operatoru izcelsmi vai nodomiem. Tomēr pētnieki ir atklājuši divus kontus, ko viņi ir izveidojuši noziedzīgos pagrīdes forumos. Konkrēti, šie dalībnieki jau 2023. gada jūnijā ir novēroti piedalāmies diskusijās, piedāvājot metodes neierobežotu Google AdSense sliekšņa kontu izveidei, kas liecina par lielu interesi par ilgstošas ļaunprātīgas reklāmas kampaņas uzsākšanu.
Google Ads sliekšņu izmantošanas konti un stratēģijas parasti tiek apmainīti BlackHat forumos. Šīs metodes bieži vien nodrošina iespēju apdraudētājiem bez tūlītēja maksājuma uzkrāt kredītus Google Ads kampaņu vadīšanai, tādējādi efektīvi pagarinot kampaņu ilgumu. Pietiekami augsts slieksnis ļauj apdraudējuma dalībniekiem uzturēt savas reklāmas kampaņas ilgāku laiku.
