MadMxShell Backdoor

គ្រោងការណ៍នៃការផ្សាយពាណិជ្ជកម្មរបស់ Google កំពុងប្រើប្រាស់ក្រុមគេហទំព័រដែលធ្វើត្រាប់តាមកម្មវិធីស្កែន IP ស្របច្បាប់ ដើម្បីចែកចាយ backdoor ដែលទើបរកឃើញថ្មីហៅថា MadMxShell ។ អ្នកវាយប្រហារបានចុះឈ្មោះដែនដែលមើលទៅស្រដៀងគ្នាជាច្រើនតាមរយៈការវាយអត្ថបទ និងកំពុងប្រើប្រាស់ Google Ads ដើម្បីបង្កើនគេហទំព័រទាំងនេះក្នុងលទ្ធផលស្វែងរក ដោយកំណត់គោលដៅជាក់លាក់ដើម្បីទាក់ទាញអ្នកទស្សនាដែលមិនសង្ស័យ។

នៅចន្លោះខែវិច្ឆិកា ឆ្នាំ 2023 ដល់ខែមីនា ឆ្នាំ 2024 មានដែនចំនួន 45 ត្រូវបានចុះឈ្មោះ ដោយធ្វើពុតជាស្កែនច្រកផ្សេងៗ និងកម្មវិធីគ្រប់គ្រង IT ដូចជា Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG និង ManageEngine ។

ខណៈពេលដែលយុទ្ធសាស្ត្រ malvertising ត្រូវបានប្រើពីមុនដើម្បីចែកចាយមេរោគតាមរយៈគេហទំព័រក្លែងក្លាយ ឧបទ្ទវហេតុនេះ គឺជាឧទាហរណ៍ដំបូងនៃវិធីសាស្រ្តដែលត្រូវបានប្រើប្រាស់ដើម្បីផ្សព្វផ្សាយ Windows backdoor ដ៏ស្មុគស្មាញមួយ។

តួអង្គគំរាមកំហែង ទាក់ទាញអ្នកប្រើប្រាស់ជាមួយគេហទំព័រក្លែងក្លាយ ដើម្បីចែកចាយមេរោគ Backdoor Malware

អ្នកប្រើប្រាស់ដែលស្វែងរកឧបករណ៍ទាំងនេះត្រូវបានដឹកនាំទៅកាន់គេហទំព័រក្លែងបន្លំដែលមានកូដ JavaScript ដែលបង្កឱ្យមានការទាញយកឯកសារព្យាបាទដែលមានឈ្មោះថា 'Advanced-ip-scanner.zip' នៅពេលដែលប៊ូតុងទាញយកត្រូវបានចុច។

នៅក្នុងបណ្ណសារហ្ស៊ីប មានឯកសារពីរ៖ 'IVIEWERS.dll' និង 'Advanced-ip-scanner.exe ។' ក្រោយមកទៀតប្រើ DLL side-loading ដើម្បីផ្ទុក 'IVIEWERS.dll' និងចាប់ផ្តើមដំណើរការឆ្លង។

ឯកសារ DLL ចាក់បញ្ចូលសែលកូដទៅក្នុងដំណើរការ 'Advanced-ip-scanner.exe' ដោយប្រើបច្ចេកទេសហៅថា process hollowing។ ក្រោយមក ឯកសារ EXE ដែលត្រូវបានចាក់បញ្ចូលនឹងពន្លាឯកសារបន្ថែមពីរ - 'OneDrive.exe' និង 'Secur32.dll' ។

Microsoft binary binary 'OneDrive.exe' ដែលត្រូវបានចុះហត្ថលេខាស្របច្បាប់ត្រូវបានប្រើប្រាស់ដើម្បីផ្ទុក 'Secur32.dll' និងប្រតិបត្តិ shellcode backdoor ។ ជាមុន មេរោគបង្កើតភាពស្ថិតស្ថេរនៅលើម៉ាស៊ីនដោយបង្កើតកិច្ចការដែលបានកំណត់ពេល និងបិទកម្មវិធីកំចាត់មេរោគ Microsoft Defender ។

MadMxShell Backdoor អនុវត្តសកម្មភាពគំរាមកំហែងជាច្រើន។

ដាក់ឈ្មោះសម្រាប់ការប្រើប្រាស់របស់វានូវសំណួរ DNS MX សម្រាប់ Command-and-Control (C2) MadMxShell backdoor ត្រូវបានបង្កើតឡើងដើម្បីប្រមូលទិន្នន័យប្រព័ន្ធ ប្រតិបត្តិពាក្យបញ្ជាតាមរយៈ cmd.exe និងធ្វើប្រតិបត្តិការឯកសារជាមូលដ្ឋានដូចជាការអាន ការសរសេរ និងការលុបឯកសារជាដើម។

ដើម្បីទាក់ទងជាមួយម៉ាស៊ីនមេ C2 របស់វា ('litterbolo.com') វាអ៊ិនកូដទិន្នន័យនៅក្នុងដែនរងនៃឈ្មោះដែនដែលមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់ពេញលេញ (FQDN) នៅក្នុងកញ្ចប់សំណួរប្តូរសំបុត្រ DNS (MX) និងពាក្យបញ្ជា deciphers ដែលបានបង្កប់នៅក្នុងកញ្ចប់ឆ្លើយតប។

ការប្រើប្រាស់យុទ្ធសាស្ត្រដូចជាការផ្ទុកចំហៀង DLL ច្រើនដំណាក់កាល និងការដំណើរការផ្លូវរូងក្រោមដី DNS សម្រាប់ការទំនាក់ទំនង C2 ទ្វារខាងក្រោយមានគោលបំណងលុបបំបាត់ចំណុចបញ្ចប់ និងវិធានការសុវត្ថិភាពបណ្តាញ។ លើសពីនេះ វាប្រើប្រាស់វិធីសាស្ត្រគេចវេស ដូចជាការប្រឆាំងការចោលសំរាម ដើម្បីរារាំងការវិភាគនៃការចងចាំ និងរារាំងវិធានការសន្តិសុខផ្នែកកោសល្យវិច្ច័យ។

តួអង្គគំរាមកំហែងនៅពីក្រោយ MadMxShell Backdoor មានគោលដៅមិនស្គាល់

បច្ចុប្បន្នមិនមានតម្រុយច្បាស់លាស់ទាក់ទងនឹងប្រភពដើម ឬចេតនារបស់ប្រតិបត្តិករមេរោគនោះទេ។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវបានរកឃើញគណនីពីរដែលបង្កើតឡើងដោយពួកគេនៅលើវេទិកាក្រោមដីឧក្រិដ្ឋកម្ម។ ជាពិសេស តួអង្គទាំងនេះត្រូវបានគេសង្កេតឃើញចូលរួមក្នុងការពិភាក្សាដែលផ្តល់វិធីសាស្រ្តក្នុងការបង្កើតគណនីកម្រិត Google AdSense គ្មានដែនកំណត់រហូតដល់ខែមិថុនា ឆ្នាំ 2023 ដែលបង្ហាញពីចំណាប់អារម្មណ៍យ៉ាងខ្លាំងក្នុងការចាប់ផ្តើមយុទ្ធនាការផ្សព្វផ្សាយពាណិជ្ជកម្មប្រកបដោយនិរន្តរភាព។

គណនី និងយុទ្ធសាស្ត្រសម្រាប់ការកេងប្រវ័ញ្ចកម្រិតនៃការផ្សាយពាណិជ្ជកម្មរបស់ Google ត្រូវបានផ្លាស់ប្តូរជាទូទៅនៅលើវេទិកា BlackHat ។ វិធីសាស្រ្តទាំងនេះជារឿយៗផ្តល់មធ្យោបាយសម្រាប់តួអង្គគំរាមកំហែងក្នុងការប្រមូលក្រេឌីតសម្រាប់ការដំណើរការយុទ្ធនាការផ្សាយពាណិជ្ជកម្មតាម Google ដោយមិនចាំបាច់បង់ប្រាក់ភ្លាមៗ ពង្រីករយៈពេលនៃយុទ្ធនាការរបស់ពួកគេប្រកបដោយប្រសិទ្ធភាព។ កម្រិត​កម្រិត​ខ្ពស់​គ្រប់គ្រាន់​អាច​ឱ្យ​តួអង្គ​គំរាមកំហែង​អាច​ទ្រទ្រង់​យុទ្ធនាការ​ផ្សាយ​ពាណិជ្ជកម្ម​របស់​ពួកគេ​ក្នុង​រយៈពេល​បន្ថែម។