Last Updated on 2024-04-18 18:11 by TaTsu
2024年4月18日、新たなGoogleのマルバタイジングキャンペーンが、正規のIPスキャナーソフトウェアを模倣したドメイン群を利用して、未知のバックドア「MadMxShell」を配布していることが明らかになった。このキャンペーンでは、タイポスクワッティング技術を用いて複数の類似ドメインが登録され、Google広告を通じて特定の検索キーワードの検索結果の上位にこれらのドメインを表示させ、被害者をこれらのサイトに誘導している。2023年11月から2024年3月の間に、Advanced IP Scanner、Angry IP Scanner、IP scanner PRTG、ManageEngineなどのポートスキャンおよびIT管理ソフトウェアを装った45のドメインが登録されたとされる。
このキャンペーンでは、偽のサイトに訪れたユーザーに対して、ダウンロードボタンをクリックすると悪意のあるファイル(“Advanced-ip-scanner.zip”)がダウンロードされるJavaScriptコードが含まれている。ZIPアーカイブ内にはDLLファイル(“IVIEWERS.dll”)と実行可能ファイル(“Advanced-ip-scanner.exe”)が含まれており、後者はDLLサイドローディングを使用してDLLをロードし、感染シーケンスを活性化する。DLLファイルはプロセス空洞化と呼ばれる技術を用いて”Advanced-ip-scanner.exe“プロセスにシェルコードを注入し、注入されたEXEファイルはさらに2つのファイル(OneDrive.exeとSecur32.dll)を解凍する。OneDrive.exeは正規の署名されたMicrosoftバイナリであり、Secur32.dllをサイドロードして最終的にシェルコードバックドアを実行するが、これはスケジュールされたタスクによってホスト上で永続性を確立し、Microsoft Defender Antivirusを無効にする前に行われる。
このバックドアは、DNS MXクエリを使用してコマンドアンドコントロール(C2)通信を行うことからその名が付けられ、システム情報の収集、cmd.exeを介したコマンドの実行、ファイルの読み取り、書き込み、削除などの基本的なファイル操作を行うよう設計されている。C2サーバー(“litterbolo[.]com”)へのリクエストは、DNSメール交換(MX)クエリパケットの完全修飾ドメイン名(FQDN)のサブドメイン内にデータをエンコードして送信され、応答パケット内にエンコードされたコマンドを受信する。
このバックドアは、エンドポイントおよびネットワークセキュリティソリューションをそれぞれ回避する手段として、DLLサイドローディングの複数の段階とDNSトンネリングによるC2通信の技術を使用している。さらに、メモリ解析を防ぎ、フォレンジックセキュリティソリューションを妨害するために、アンチダンピングなどの回避技術を使用している。
マルウェアオペレーターの出身地や意図については現在のところ明らかにされていないが、Zscalerは彼らがblackhatworld[.]comやsocial-eng[.]ruなどの犯罪地下フォーラムにwh8842480@gmail[.]comのメールアドレスを使用して2つのアカウントを作成したことを特定した。この脅威アクターは、2023年6月に自身の長期にわたるマルバタイジングキャンペーンを開始するための方法として、無制限のGoogle AdSense閾値アカウントの設定方法を提供する投稿に関与していたことが示されている。
【編集者追記】MadMxShellとは
MadMxShellは、サイバー攻撃者が最近使い始めた新しいWindows向けバックドアマルウェアです。このマルウェアは、マルバタイジング(悪質な広告)攻撃を通じて、IT専門家をターゲットに配布されています。
The Hacker Newsの記事によると、攻撃者はGoogle広告を悪用し、人気のIPスキャナーソフトウェアを偽装したウェブサイトを検索結果の上位に表示させる手口を使っています。ユーザーがそのサイトからソフトウェアをダウンロードすると、MadMxShellバックドアが仕込まれたファイルが配布されます。
このバックドアは、正規のIPスキャナーソフトが実行された際に、DLLサイドローディングの手法で実行されるよう設計されています。一度感染すると、攻撃者に対してバックドア経由で被害マシンへのアクセスを許可してしまう危険があります。
まだMadMxShellの背後にいる攻撃グループの詳細は分かっていませんが、マルバタイジングの経験が豊富で、高度な手口を用いているとみられています。IT関係者を狙った新たな脅威として注意が必要とされています。
【編集者追記】マルバタイジングキャンペーンとは?
マルバタイジングキャンペーンとは、サイバー攻撃者が広告を悪用してマルウェアを配布する手口のことを指します。
主な仕組みは以下の通りです。
- 攻撃者が広告配信業者のシステムにマルウェアの配布コードを埋め込む。
- その悪質な広告が、多くの正規のウェブサイトで表示されるようになる。
- ユーザーがその広告をクリックしたり、広告が自動再生されたりすると、マルウェアに感染する。
- キーロガー、ランサムウェア、トロイの木馬などさまざまなマルウェアが配布される。
- 攻撃者は、ターゲティング広告を利用して特定の層をピンポイントで狙うことができる。
マルバタイジングの危険性は、正規の信頼できるサイトを閲覧していても感染リスクがあることです。検索エンジン最適化(SEO)の手法で、攻撃者は人気サイトに悪質な広告を表示させることができます。
そのため、ユーザーは広告をクリックしないこと、ブラウザやプラグインを常に最新版に更新すること、広告ブロック機能を有効にすることなどの対策が重要となります。企業では、従業員教育やウェブフィルタリングなどの対策も求められます。
【ニュース解説】
2024年4月18日に発表された新たなGoogleのマルバタイジングキャンペーンが、正規のIPスキャナーソフトウェアを模倣したドメイン群を通じて、未知のバックドア「MadMxShell」を配布していることが判明しました。このキャンペーンは、タイポスクワッティング技術を用いて複数の類似ドメインを登録し、Google広告を通じて特定の検索キーワードの検索結果の上位にこれらのドメインを表示させることで、被害者を偽のサイトに誘導しています。この手法により、被害者は悪意のあるファイルをダウンロードすることになり、その結果、バックドアがシステムに侵入します。
このバックドアは、システム情報の収集、コマンドの実行、ファイル操作などを行うことができ、DNS MXクエリを利用してコマンドアンドコントロール(C2)通信を行います。また、DLLサイドローディングやDNSトンネリングなどの技術を使用してセキュリティソリューションを回避し、アンチダンピング技術を用いてメモリ解析を防ぐなど、高度な回避技術を駆使しています。
このキャンペーンの背後にいるマルウェアオペレーターの正確な出身地や意図は不明ですが、彼らが犯罪地下フォーラムにアカウントを作成し、Google AdSense閾値アカウントの悪用方法について議論していたことが明らかにされています。これは、彼らが広告キャンペーンを長期間にわたって実行するための資金を確保する意図があることを示唆しています。
このようなマルバタイジングキャンペーンは、ユーザーが信頼できるソフトウェアやサービスを検索する際にもリスクがあることを示しています。また、セキュリティソリューションを回避するための高度な技術が使用されているため、企業や個人はより注意深く、セキュリティ対策を講じる必要があります。特に、ダウンロードするソフトウェアの出所を慎重に確認し、不審な点があれば使用を避けるなどの対策が求められます。
長期的な視点では、このような攻撃の増加は、セキュリティソリューションの進化を促すとともに、企業や個人がセキュリティ意識を高めるきっかけとなる可能性があります。また、Google広告のようなプラットフォームを利用した攻撃に対する規制や対策の強化も期待されます。この事件は、サイバーセキュリティの重要性がますます高まっている現代において、常に警戒し、適切な対策を講じることの重要性を改めて浮き彫りにしています。
from Malicious Google Ads Pushing Fake IP Scanner Software with Hidden Backdoor.
