在最近一波网络攻击中,IT 专业人员已成为Zscaler ThreatLabz 研究人员 Roy Tay 和 Sudeep Singh 发现的狡猾恶意广告活动的目标。
根据该公司的研究,该活动利用欺骗性在线广告来传播一个名为“MadMxShell”的前所未见的后门。这一切都始于 2024 年 3 月,当时 Zscaler ThreatLabz 发现一个威胁参与者使用相似的域来分发 MadMxShell,利用 DLL 侧载、DNS 协议滥用和内存取证安全解决方案。
研究人员认为,攻击者展示了一种经过精心策划的方法。 2023 年 11 月至 2024 年 3 月期间,攻击者注册了多个与流行 IP 扫描仪和网络管理软件非常相似的域名,包括 Advanced IP Scanner、Angry IP Scanner、Paessler 的 PRTG IP Scanner、Manage Engine 以及与 VLAN 相关的网络管理任务。
这种策略被称为“错字抢注”。这使得域名很有可能出现在热门搜索中,并且 IT 专业人员可能会错误地点击恶意广告。
一旦点击,广告就会将用户重定向到一个看起来像正版软件供应商网站的登陆页面。在这里,他们会看到一个可下载的文件,但他们并不知道该文件包含 MadMxShell 后门。
根据 Zscaler 的博客文章,MadMxShell 后门采用多阶段部署过程,旨在逃避传统安全解决方案的检测。初始有效负载利用 DLL 侧面加载,这是一种欺骗合法程序加载恶意库文件的技术。然后,该恶意库会下载其他组件,与攻击者的命令和控制 (C2) 服务器建立通信。
MadMxShell 最令人关注的方面之一是它使用 DNS MX 记录查询进行 C2 通信。该技术以非常规方式利用标准域名系统 (DNS) 协议来掩盖与攻击者基础设施的通信。此外,MadMxShell 采用反转储技术来阻止内存分析,使安全研究人员难以了解其内部工作原理。
为了降低风险,请警惕不请自来的广告,启用弹出窗口拦截器,维护强大的安全软件,并教育员工了解恶意广告和社会工程策略的危险。
Sectigo 产品高级副总裁Jason Soroko对新活动发表了评论。 “防御者通常不会在电子邮件交换 DNS 流量中寻找恶意控制通信 (C2),因此在这种情况下,攻击者找到了隐藏的地方。攻击者还采用了一种阻止内存“转储”的技术,以供端点安全解决方案进行分析。”Jason 解释道。
“恶意广告并不新鲜,然而,这里使用的恶意软件技术表明攻击者的技术管道很深,并且大量的思想已经隐藏在网络和操作系统的黑暗角落,”他希望。
发表评论
您还未登录,请先登录。
登录