MadMxShell 后门

通过Mezo在 Backdoors

翻译为：

Google 恶意广告计划利用一组模仿合法 IP 扫描软件的网站来分发新发现的名为 MadMxShell 的后门。攻击者通过域名抢注注册了许多看似相似的域名，并使用 Google Ads 提升这些网站的搜索结果排名，针对特定关键词来吸引毫无戒心的访问者。

2023 年 11 月至 2024 年 3 月期间，大约有 45 个域名被注册，假装是各种端口扫描和 IT 管理软件，如 Advanced IP Scanner、Angry IP Scanner、IP 扫描器 PRTG 和 ManageEngine。

虽然恶意广告策略以前曾被用来通过虚假网站传播恶意软件，但这一事件标志着首次使用这种方法传播复杂的 Windows 后门。

搜索这些工具的用户会被引导至包含 JavaScript 代码的欺诈网站，当用户单击下载按钮时，该代码会触发名为“Advanced-ip-scanner.zip”的恶意文件的下载。

在 ZIP 存档中，有两个文件：“IVIEWERS.dll”和“Advanced-ip-scanner.exe”。后者利用 DLL 侧加载来加载“IVIEWERS.dll”并启动感染过程。

DLL 文件使用一种称为进程挖空的技术将嵌入式 shellcode 注入“Advanced-ip-scanner.exe”进程。之后，注入的 EXE 文件会解压另外两个文件 - “OneDrive.exe”和“Secur32.dll”。

合法签名的 Microsoft 二进制文件“OneDrive.exe”被利用来加载“Secur32.dll”并执行 shellcode 后门。在此之前，恶意软件通过创建计划任务和禁用 Microsoft Defender Antivirus 在主机上建立持久性。

MadMxShell 后门因其利用 DNS MX 查询进行命令和控制 (C2) 而得名，旨在收集系统数据、通过 cmd.exe 执行命令以及执行读取、写入和删除文件等基本文件操作。

为了与其 C2 服务器（“litterbolo.com”）通信，它会对 DNS 邮件交换 (MX) 查询数据包中完全限定域名 (FQDN) 子域内的数据进行编码，并解密响应数据包中嵌入的命令。

该后门采用多级 DLL 侧载和 DNS 隧道等策略进行 C2 通信，旨在逃避端点和网络安全措施。此外，它还采用反转储等规避方法来阻止内存分析并妨碍取证安全措施。

目前尚无关于恶意软件运营商的来源或意图的明确线索。然而，研究人员在犯罪地下论坛上发现了他们创建的两个账户。具体来说，早在 2023 年 6 月，这些行为者就参与了讨论，提供建立无限 Google AdSense 门槛账户的方法，这表明他们对发起持续的恶意广告活动有着浓厚的兴趣。

BlackHat 论坛上经常会交换利用 Google Ads 门槛的帐户和策略。这些方法通常为威胁行为者提供了一种无需立即付款即可积累 Google Ads 广告系列信用的方法，从而有效地延长了广告系列的持续时间。足够高的门槛使威胁行为者能够长时间维持其广告系列。

搜索