MadMxShell Backdoor
یک طرح تبلیغات بد گوگل از گروهی از وب سایتها استفاده میکند که از نرمافزار اسکنر IP قانونی تقلید میکنند تا یک درب پشتی تازه کشف شده به نام MadMxShell را توزیع کنند. مهاجمان دامنههای مشابه زیادی را از طریق typosquatting ثبت کردهاند و از Google Ads برای تقویت این سایتها در نتایج جستجو استفاده میکنند و کلمات کلیدی خاصی را هدف قرار میدهند تا بازدیدکنندگانی را جذب کنند.
بین نوامبر 2023 و مارس 2024، حدود 45 دامنه ثبت شد که وانمود میکردند که نرمافزارهای مختلف اسکن پورت و مدیریت فناوری اطلاعات مانند Advanced IP Scanner، Angry IP Scanner، IP scanner PRTG و ManageEngine هستند.
در حالی که تاکتیکهای بدافزار قبلاً برای توزیع بدافزار از طریق وبسایتهای جعلی استفاده میشد، این حادثه اولین نمونه از چنین روشی است که برای گسترش یک درپشتی پیچیده ویندوز استفاده میشود.
فهرست مطالب
بازیگران تهدید، کاربران را با وبسایتهای جعلی برای ارائه بدافزارهای پشتی قدرتمند فریب میدهند
کاربرانی که این ابزارها را جستجو میکنند به وبسایتهای جعلی حاوی کد جاوا اسکریپت هدایت میشوند که با کلیک روی دکمه دانلود، فایل مخربی به نام «Advanced-ip-scanner.zip» را دانلود میکند.
در بایگانی ZIP، دو فایل وجود دارد: «IVIEWERS.dll» و «Advanced-ip-scanner.exe». دومی از بارگذاری جانبی DLL برای بارگیری «IVIEWERS.dll» و آغاز فرآیند آلودگی استفاده میکند.
فایل DLL با استفاده از تکنیکی به نام فرآیند توخالی، پوستهکد تعبیهشده را به فرآیند Advanced-ip-scanner.exe تزریق میکند. پس از آن، فایل EXE تزریق شده دو فایل دیگر را باز میکند - «OneDrive.exe» و «Secur32.dll».
باینری مایکروسافت امضا شده قانونی "OneDrive.exe" برای بارگیری "Secur32.dll" و اجرای درب پشتی پوسته مورد سوء استفاده قرار می گیرد. پیش از این، بدافزار با ایجاد یک کار زمانبندیشده و غیرفعال کردن آنتیویروس Microsoft Defender، پایداری را در میزبان ایجاد میکند.
درب پشتی MadMxShell اقدامات تهدیدآمیز متعددی را انجام می دهد
درپشتی MadMxShell که به دلیل استفاده از جستارهای DNS MX برای Command-and-Control (C2) نامگذاری شده است، برای جمعآوری دادههای سیستم، اجرای دستورات از طریق cmd.exe و انجام عملیاتهای اساسی فایل مانند خواندن، نوشتن و حذف فایلها طراحی شده است.
برای برقراری ارتباط با سرور C2 خود ('litterbolo.com')، داده ها را در زیر دامنه های نام دامنه کاملاً واجد شرایط (FQDN) در بسته های پرس و جو تبادل نامه DNS (MX) رمزگذاری می کند و دستورات تعبیه شده در بسته های پاسخ را رمزگشایی می کند.
با استفاده از تاکتیکهایی مانند بارگذاری جانبی DLL چند مرحلهای و تونلسازی DNS برای ارتباطات C2، هدف درب پشتی دور زدن نقطه پایانی و اقدامات امنیتی شبکه است. علاوه بر این، از روشهای فرار مانند ضد دامپینگ برای خنثی کردن تحلیل حافظه و جلوگیری از اقدامات امنیتی پزشکی قانونی استفاده میکند.
بازیگر تهدید در پشت درب MadMxShell اهداف نامعلومی دارد
در حال حاضر هیچ سرنخ قطعی در مورد منشاء یا اهداف اپراتورهای بدافزار وجود ندارد. با این حال، محققان دو حساب ایجاد شده توسط آنها را در انجمن های زیرزمینی جنایی کشف کرده اند. به طور خاص، مشاهده شده است که این بازیگران در بحثهایی شرکت میکنند که روشهایی برای ایجاد حسابهای آستانه نامحدود Google AdSense در ژوئن 2023 ارائه میدهند، که نشاندهنده علاقه شدید به راهاندازی یک کمپین بد تبلیغاتی پایدار است.
حسابها و استراتژیها برای بهرهبرداری از آستانه تبلیغات Google معمولاً در انجمنهای BlackHat رد و بدل میشوند. این روشها اغلب ابزاری را برای عوامل تهدید فراهم میکنند تا برای اجرای کمپینهای Google Ads بدون پرداخت فوری اعتبار جمع کنند و به طور موثر مدت کمپینهای خود را افزایش دهند. آستانه به اندازه کافی بالا به بازیگران تهدید امکان می دهد کمپین های تبلیغاتی خود را برای مدت طولانی حفظ کنند.