MadMxShell バックドア

Google のマルバタイジング計画では、正規の IP スキャナー ソフトウェアを模倣した Web サイトのグループを使用して、新たに発見された MadMxShell と呼ばれるバックドアを配布しています。攻撃者は、タイポスクワッティングによって類似したドメインを多数登録し、Google 広告を使用してこれらのサイトを検索結果で上位に表示し、特定のキーワードをターゲットにして、疑いを持たない訪問者を引き付けています。

2023年11月から2024年3月の間に、Advanced IP Scanner、Angry IP Scanner、IPスキャナーPRTG、ManageEngineなどのさまざまなポートスキャンおよびIT管理ソフトウェアを装った約45のドメインが登録されました。

マルバタイジングの手法は、偽のウェブサイトを通じてマルウェアを配布するためにこれまでも使用されてきたが、今回の事件は、複雑な Windows バックドアを拡散するためにそのような手法が使用された初めての事例である。

脅威アクターは偽のウェブサイトでユーザーを誘い込み、強力なバックドアマルウェアを送り込む

これらのツールを検索するユーザーは、ダウンロード ボタンをクリックすると「Advanced-ip-scanner.zip」という悪意のあるファイルのダウンロードをトリガーする JavaScript コードを含む不正な Web サイトに誘導されます。

ZIP アーカイブ内には、「IVIEWERS.dll」と「Advanced-ip-scanner.exe」の 2 つのファイルがあります。後者は DLL サイドローディングを利用して「IVIEWERS.dll」をロードし、感染プロセスを開始します。

DLL ファイルは、プロセス ハロウイングと呼ばれる手法を使用して、埋め込まれたシェルコードを「Advanced-ip-scanner.exe」プロセスに挿入します。その後、挿入された EXE ファイルは、「OneDrive.exe」と「Secur32.dll」という 2 つの追加ファイルを解凍します。

正規の署名付き Microsoft バイナリ「OneDrive.exe」が悪用され、「Secur32.dll」がロードされ、シェルコード バックドアが実行されます。事前に、マルウェアはスケジュールされたタスクを作成し、Microsoft Defender ウイルス対策を無効にすることで、ホスト上での永続性を確立します。

MadMxShellバックドアは数多くの脅威的なアクションを実行します

MadMxShell バックドアは、コマンド アンド コントロール (C2) 用の DNS MX クエリを利用することから名付けられ、システム データを収集し、cmd.exe 経由でコマンドを実行し、ファイルの読み取り、書き込み、削除などの基本的なファイル操作を実行するように設計されています。

C2 サーバー (「litterbolo.com」) と通信するために、DNS メール交換 (MX) クエリ パケット内の完全修飾ドメイン名 (FQDN) のサブドメイン内のデータをエンコードし、応答パケットに埋め込まれたコマンドを解読します。

このバックドアは、C2 通信に多段階の DLL サイドローディングや DNS トンネリングなどの戦術を採用し、エンドポイントとネットワークのセキュリティ対策を回避することを目指しています。さらに、アンチダンピングなどの回避方法を採用して、メモリ分析を阻止し、フォレンジック セキュリティ対策を妨害します。

MadMxShell バックドアの背後にいる脅威アクターの目的は不明

現時点では、マルウェアの運営者の起源や目的に関する決定的な手がかりはありません。しかし、研究者は犯罪者の地下フォーラムで彼らが作成した 2 つのアカウントを発見しました。具体的には、これらのアクターは、2023 年 6 月まで遡って、無制限の Google AdSense しきい値アカウントを確立する方法を提案するディスカッションに参加していることが確認されており、持続的なマルバタイジング キャンペーンを開始することに強い関心があることを示唆しています。

Google 広告のしきい値を悪用するためのアカウントや戦略は、BlackHat フォーラムでよく交換されています。これらの方法は、多くの場合、脅威アクターが即時の支払いなしで Google 広告キャンペーンを実行するためのクレジットを蓄積する手段となり、キャンペーンの期間を効果的に延長します。しきい値が十分に高いと、脅威アクターは長期間にわたって広告キャンペーンを維持できます。