後門程式MadMxShell透過惡意廣告散布,對方聲稱提供網路管理工具引誘用戶上當
· 2024-04-26

研究人員發現名為MadMxShell的後門程式攻擊行動,對方假借提供網管常用工具軟體的名義,目的很有可能是對網管人員下手,從而得到入侵企業組織的管道

攻擊者為了策畫攻擊行動,很有可能事先就搶下特定網域名稱,以便後續能成功發動攻擊。

例如,資安業者Zscaler上個月發現的後門程式MadMxShell攻擊行動,就是這樣的例子。

他們發現對方從去年11月至今年3月註冊許多網域名稱,這些名稱與網路管理員及資安人員會使用的IP位址掃描工具等應用程式有關,這些應用程式包括近期常被駭客用來誘騙的Advanced IP Scanner、Angry IP Scanner,以及許多網管人員耳熟能詳的PRTG IP Scanner、ManageEngine工具,並透過Google廣告將這些網域名稱推送到特定關鍵字搜尋結果的頂部,企圖引誘上述技術人員上當。研究人員推測,對方的最終目的,是為了能夠取得入侵企業組織的初始管道。

一旦使用者上當,從攻擊者的網站下載安裝程式,他們會取得ZIP壓縮檔,當中除了看似安裝程式的執行檔,還會包含大小高達22 MB的DLL程式庫IVIEWERS.dll,而這個程式庫檔案內含第2階段的有效酬載。前面提到的「安裝程式」,其實是物件檢視器oleview.exe更名而成。

若是使用者啟動「安裝程式」,電腦就會透過側載的方式執行IVIEWERS.dll,解出微軟檔案共享服務的用戶端主程式OneDrive.exe,以及另一個DLL程式庫Secur32.dll。

接著,攻擊者透過OneDrive.exe側載Secur32.dll,而該DLL檔案會對特定的圖示資源的XOR編碼進行處理,得到名為MadMxShell的Shell Code,從而收集受害電腦系統資訊,並能執行cmd.exe,以及進行基本的檔案操作。

研究人員提及,對方為了迴避偵測,採用XOR演算法處理C2通訊的相關資訊。該惡意程式透過8位元XOR金鑰解密,從而呼叫特定函數,隨即進行重新編碼處理。

此外,C2網域名稱、網路流量通訊的加解密表格、XOR金鑰,攻擊者也將這些資訊存成字串堆疊(Stack Strings),以防遭到資安系統解析。對方這麼做的目的,就是為了Shell Code在執行的過程中,不會在記憶體內留下完整的足跡。

特別的是,此後門程式透過發送或接收DNS MX記錄的命令,來與C2伺服器進行通訊。

熱門文章
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
英國確認各垂直行業的賭博稅稅率
合規與政策
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
首頁
遊戲
合作
發現
我的