С начала марта 2024 года специалисты Zscaler ThreatLabz заметили, что один из участников угроз начал использовать группу доменов, которые выглядели как легитимные сайты с программным обеспечением для сканирования IP-адресов, для распространения нового бэкдора, названного "MadMxShell". Злоумышленник зарегистрировал несколько похожих доменов с использованием техники опечаток и использует рекламу Google Ads, чтобы привести эти домены в топ результатов поисковых систем по определенным ключевым словам и привлечь потенциальных жертв.
Бэкдор "MadMxShell" использует несколько техник, включая многоступенчатую боковую загрузку DLL, злоупотребление протоколом DNS для связи с командно-контрольным сервером (C2) и уклонение от решений по защите памяти от криминализации. Он также использует DNS MX-запросы для связи с C2 и имеет очень короткий интервал между C2-запросами.
В рассмотрении данной кампании были рассмотрены детали кампании, инфраструктура угрожающего агента и технический анализ бэкдора "MadMxShell". В блоге также предоставлен пользовательский Python-скрипт для декодирования C2-трафика и поиска образцов вредоносного ПО и индикаторов компрометации (IOC), связанных с этой кампанией.
Основные выводы из анализа включают то, что в период с ноября 2023 года по март 2024 года были зарегистрированы домены, подделывающие легитимное программное обеспечение для сканирования IP-адресов. Угрозы использовали Google Ads для проведения кампании вредоносной рекламы, чтобы привести свои вредоносные сайты в топ результатов поиска. Успешное заражение приводит к появлению бэкдора "MadMxShell", который использует множество техник, таких как многоступенчатая боковая загрузка DLL и туннелирование DNS, чтобы обойти защитные решения.
Было отмечено, что выбор поддельного программного обеспечения позволяет предположить, что целью атаки являются ИТ-специалисты, особенно те, кто работает в области информационной безопасности и сетевого администрирования. Также было отмечено, что злоумышленники ранее использовали вредоносную рекламу Google для распространения троянизированных версий специального инструмента для сканирования портов. Однако данная кампания отличается от предыдущих, а конечное вредоносное ПО, поставляемое в рамках этой кампании, ранее не было публично задокументировано.
Indicators of Compromise
Domains
- advaanced-ip-scanner.com
- advaanced-ip-scanner.net
- advanceb-ip-scanner.com
- advanceb-lp-scanner.com
- advanced-ip-saaner.com
- advanced-ip-scaaner.com
- advanced-ip-scaer.com
- advanced-ip-scaer.net
- advanced-ip-scanel.com
- advanced-ip-scanel.net
- advanced-ip-scanerr.com
- advanced-ip-scanerr.net
- advanced-ip-scanir.com
- advanced-ip-scanir.net
- advanced-ip-scanr.com
- advanced-ip-scanr.net
- advanced-ip-scanz.com
- advanced-ip-scanz.net
- advanced-lp-saanel.com
- advanced-lp-saaner.com
- advanced-lp-scanel.com
- advanced-lp-scannel.com
- advansed-ip-scanner.com
- advansed-ip-scanner.net
- advvanced-ip-scanner.com
- advvanced-ip-scanner.net
- angryipscan.net
- angryipscaner.com
- ipscannerprtg.com
- keystore-explore.com
- litterbolo.com
- manageeengines.com
- manageeengines.net
- managengines.com
- managengines.net
- managengins.com
- managengins.net
- networkipscan.com
- networkscanip.com
- paesslers.com
- prtgscan.com
SHA256
- 0263663c5375289fa2550d0cff3553dfc160a767e718a9c38efc0da3d7a4b626
- 105e9a8d1014d2939e6b0ada3f24ad4bb6bd21f0155c284c90c7675a1de9d193
- 287a0a80a995f1e62b317cf5faa1db94af6ee9132b0f8483afbd6819aa903d31
- 6de01c65c994e0e428f5043cb496c8adca96ba18dfd2953335d1f3c9b97c60c5
- 722a44f6a4718d853d640381e77d1b9815d6f1663603859ff758ded896860cba
- 7966ee1ae9042e7345a55aa98ddeb4f39133216438d67461c7ee39864292e015
- 9bba4c707de5a66d8c47e3e18e575d43ba8011302dad452230c4b9d6b314ee26
- b5162497bc2b9f1956d2145dd32daa5c99d6803544a0254a9090237628168d94
- bae2952c7d120d882746658e6d128556ae2498005072c4b7d7590a964b93c315