MadMxShell後門

Backdoors 年Mezo年

翻譯為：

Google 惡意廣告計畫正在使用一組模仿合法 IP 掃描軟體的網站來分發新發現的名為 MadMxShell 的後門。攻擊者透過誤植域名註冊了許多外觀相似的域名，並使用 Google Ads 來提高這些網站的搜尋結果排名，針對特定關鍵字來吸引毫無戒心的訪客。

2023 年 11 月至 2024 年 3 月期間，註冊了約 45 個域名，冒充各種連接埠掃描和 IT 管理軟體，如 Advanced IP Scanner、Angry IP Scanner、IP 掃描器 PRTG 和 ManageEngine。

雖然惡意廣告策略以前曾被用來透過虛假網站傳播惡意軟體，但這次事件標誌著這種方法首次被用來傳播複雜的 Windows 後門。

搜尋這些工具的使用者會被導向到包含 JavaScript 程式碼的詐騙網站，當點擊下載按鈕時，程式碼會觸發下載名為「Advanced-ip-scanner.zip」的惡意檔案。

ZIP 檔案內有兩個檔案：「IVIEWERS.dll」和「Advanced-ip-scanner.exe」。後者利用 DLL 側面載入來載入“IVIEWERS.dll”並啟動感染過程。

DLL 檔案使用稱為進程空洞的技術將嵌入的 shellcode 注入「Advanced-ip-scanner.exe」進程。之後，注入的 EXE 檔案會解壓縮兩個附加檔案 -“OneDrive.exe”和“Secur32.dll”。

合法簽署的 Microsoft 二進位檔案「OneDrive.exe」被用來載入「Secur32.dll」並執行 shellcode 後門。在此之前，惡意軟體透過建立排程任務並停用 Microsoft Defender 防毒軟體在主機上建立持久性。

MadMxShell 後門因其利用 DNS MX 查詢進行命令和控制 (C2) 而得名，旨在收集系統資料、透過 cmd.exe 執行命令以及執行基本檔案操作，例如讀取、寫入和刪除檔案。

為了與其 C2 伺服器（「litterbolo.com」）通信，它對 DNS 郵件交換 (MX) 查詢資料包中完全限定網域名稱 (FQDN) 的子網域內的資料進行編碼，並解密回應資料包中嵌入的命令。

此後門採用多層 DLL 側面加載和 DNS 隧道等策略進行 C2 通信，旨在逃避端點和網路安全措施。此外，它還採用反傾銷等規避方法來阻止記憶體分析並阻礙取證安全措施。

目前還沒有關於惡意軟體操作者的起源或意圖的明確線索。然而，研究人員發現了他們在地下犯罪論壇上創建的兩個帳戶。具體而言，據觀察，早在 2023 年 6 月，這些參與者就參與了提供建立無限 Google AdSense 閾值帳戶的方法的討論，這表明他們對發起持續的惡意廣告活動抱有濃厚的興趣。

利用 Google Ads 閾值的帳戶和策略通常在 BlackHat 論壇上交換。這些方法通常為威脅行為者提供了一種無需立即付款即可累積運行 Google Ads 廣告系列的積分的方法，從而有效地延長了其廣告系列的持續時間。足夠高的閾值使威脅行為者能夠長時間維持其廣告活動。

搜索