MadMxShell 백도어
Google 악성 광고 계획은 합법적인 IP 스캐너 소프트웨어를 모방하는 웹사이트 그룹을 사용하여 MadMxShell이라는 새로 발견된 백도어를 배포하는 것입니다. 공격자는 타이포스쿼팅을 통해 유사해 보이는 수많은 도메인을 등록했으며 Google Ads를 사용하여 이러한 사이트를 검색 결과에 표시하고 특정 키워드를 타겟팅하여 의심하지 않는 방문자를 유치하고 있습니다.
2023년 11월부터 2024년 3월 사이에 약 45개의 도메인이 등록되어 Advanced IP Scanner, Angry IP Scanner, IP 스캐너 PRTG 및 ManageEngine과 같은 다양한 포트 스캐닝 및 IT 관리 소프트웨어인 것처럼 가장했습니다.
이전에는 가짜 웹사이트를 통해 맬웨어를 배포하기 위해 맬웨어 광고 전술이 사용되었지만, 이번 사건은 이러한 방법이 복잡한 Windows 백도어를 확산시키는 데 사용된 첫 번째 사례입니다.
목차
위협 행위자는 가짜 웹사이트로 사용자를 유인하여 강력한 백도어 악성 코드를 전달합니다.
이러한 도구를 검색하는 사용자는 다운로드 버튼을 클릭할 때 'Advanced-ip-scanner.zip'이라는 악성 파일의 다운로드를 트리거하는 JavaScript 코드가 포함된 사기성 웹사이트로 연결됩니다.
ZIP 아카이브에는 'IVIEWERS.dll'과 'Advanced-ip-scanner.exe'라는 두 개의 파일이 있습니다. 후자는 DLL 사이드 로딩을 활용하여 'IVIEWERS.dll'을 로드하고 감염 프로세스를 시작합니다.
DLL 파일은 프로세스 비우기(process Hollowing)라는 기술을 사용하여 'Advanced-ip-scanner.exe' 프로세스에 내장된 쉘코드를 주입합니다. 이후 주입된 EXE 파일은 'OneDrive.exe'와 'Secur32.dll'이라는 두 개의 추가 파일의 압축을 풉니다.
합법적으로 서명된 Microsoft 바이너리 'OneDrive.exe'를 악용하여 'Secur32.dll'을 로드하고 쉘코드 백도어를 실행합니다. 사전에 맬웨어는 예약된 작업을 생성하고 Microsoft Defender 바이러스 백신을 비활성화하여 호스트에 지속성을 설정합니다.
MadMxShell 백도어는 수많은 위협적인 작업을 수행합니다.
명령 및 제어(C2)를 위한 DNS MX 쿼리 활용으로 명명된 MadMxShell 백도어는 시스템 데이터를 수집하고, cmd.exe를 통해 명령을 실행하고, 파일 읽기, 쓰기, 삭제와 같은 기본적인 파일 작업을 수행하도록 설계되었습니다.
C2 서버('litterbolo.com')와 통신하기 위해 DNS 메일 교환(MX) 쿼리 패킷에서 FQDN(정규화된 도메인 이름)의 하위 도메인 내의 데이터를 인코딩하고 응답 패킷에 포함된 명령을 해독합니다.
C2 통신을 위한 다단계 DLL 사이드 로딩 및 DNS 터널링과 같은 전술을 사용하는 백도어는 엔드포인트 및 네트워크 보안 조치를 피하는 것을 목표로 합니다. 또한 메모리 분석을 방해하고 포렌식 보안 조치를 방해하기 위해 반덤핑과 같은 회피 방법을 사용합니다.
MadMxShell 백도어 뒤에 있는 위협 행위자는 알 수 없는 목표를 가지고 있습니다.
현재 악성코드 운영자의 출처나 의도에 관한 확실한 단서는 없습니다. 그러나 연구자들은 지하 범죄 포럼에서 이들이 만든 두 개의 계정을 발견했습니다. 특히 이러한 행위자는 2023년 6월까지 Google 애드센스 기준 계정을 무제한으로 설정할 수 있는 방법을 제안하는 토론에 참여하는 것으로 관찰되었으며, 이는 지속적인 악성 광고 캠페인을 시작하는 데 큰 관심이 있음을 시사합니다.
Google Ads 임계값을 활용하기 위한 계정과 전략은 일반적으로 BlackHat 포럼에서 교환됩니다. 이러한 방법은 위협 행위자가 즉각적인 지불 없이 Google Ads 캠페인 실행에 필요한 크레딧을 축적하여 캠페인 기간을 효과적으로 연장할 수 있는 수단을 제공하는 경우가 많습니다. 임계값이 충분히 높으면 위협 행위자가 광고 캠페인을 장기간 유지할 수 있습니다.
