新種のバックドア「MadMxShell」、Google広告を悪用する手口
マイナビニュース / 2024年4月29日 11時31分
Zscalerはこのほど、「New Backdoor, MadMxShell|ThreatLabz」において、セキュリティ技術者およびネットワーク技術者を標的とする新しいマルウェア配布キャンペーンを発見したとして、注意を呼び掛けた。このキャンペーンでは新しいバックドア「MadMxShell」の配布が確認されている。
○新しいマルウェア配布キャンペーン
Zscalerによるとこのキャンペーンは2023年11月から2024年3月にかけてGoogle広告を悪用して実施されたという。悪意のある広告は「Advanced IP Scanner」、「Angry IP Scanner」、「Angry IP Scanner」、「Manage Engine」などの検索キーワードで表示され、広告をクリックすると悪意のあるWebサイト「advanced-ip-scanz[.]net」に誘導されたとしている。
このWebサイトは無料のネットワークスキャンツール「Advanced IP Scanner」の公式サイトに偽装しており、このWebサイトからAdvanced IP Scannerをダウンロードすると悪意のあるZIPファイルをダウンロードすることになる。
○バックドア「MadMxShell」の正体
ダウンロードしたZIPファイルには「Advanced-ip-scanner.exe」と「IVIEWERS.dll」が含まれている。前者は正規のOLE/COMオブジェクトビューワー「oleview.exe」のコピーで、後者は分析妨害技術を導入した悪意のあるダイナミックリンクライブラリ(DLL: Dynamic Link Library)とされる。
Advanced-ip-scanner.exeを実行すると、サイドローディング技術を使用してIVIEWERS.dllがロードされる。IVIEWERS.dllはリソースとして保持している高度に難読化されたシェルスクリプトを復元、実行する。シェルスクリプトはIVIEWERS.dllに保存されていた悪意のある実行可能ファイルを抽出し、プロセスハロウィング(Process Hollowing)技術を使用して新しいAdvanced-ip-scanner.exeプロセスに注入、実行する。
悪意のある実行可能ファイルは同様の工程を再度繰り返し、最終的にシェルコードを展開、実行する。このシェルコードがバックドア「MadMxShell」とされる。MadMxShellにはシステム情報の窃取、ファイルの読み書き、ファイルの削除、cmd.exeを使用したコマンドの実行機能などがあるとみられている。
○対策
このキャンペーンを実行した脅威アクターは高度な戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)を使用し、セキュリティソリューションの検出を回避するために多大な努力をしているという。Zscalerはこのような攻撃を回避するため、検索サイトの広告には注意を払い、ソフトウェアをダウンロードするときは広告からではなく正規サイトからダウンロードすることを推奨している。
(後藤大地)
外部リンク
この記事に関連するニュース
-
有名ブランド偽装してブラウザ拡張機能を要求するWebサイトに注意
マイナビニュース / 2024年5月16日 12時11分
-
SOHO向けネットワーク機器を標的とするマルウェア「Cuttlefish」に注意
マイナビニュース / 2024年5月13日 7時52分
-
Pythonベースのトロイの木馬配布するサイバー攻撃確認、北朝鮮関与の疑い
マイナビニュース / 2024年5月2日 8時56分
-
Androidアプリに悪意あるコードを追加して再配布するマルウェアに注意
マイナビニュース / 2024年5月2日 8時31分
-
Windowsのパス変換に問題、アクセスできないファイルを作って悪用可能
マイナビニュース / 2024年4月30日 7時31分
ランキング
-
1Google、Android上でChrome OSを試験的に実行中
マイナビニュース / 2024年5月19日 17時15分
-
2「現場を知らなすぎ」 政府広報が投稿「令和の給食」写真に批判続出…… 識者が指摘した“学校給食の問題点”
ねとらぼ / 2024年5月18日 7時30分
-
3モトローラの新ミドル機は控えめ価格なのに、FeliCa&防水&薄型軽量に美しいデザインと贅沢な1台
ASCII.jp / 2024年5月19日 12時0分
-
4「思わず笑った」 ハードオフに4万4000円で売られていた“まさかのフィギュア”に仰天 「玄関に置いときたい」
ねとらぼ / 2024年5月19日 12時0分
-
5ダイソーで110円の「スマートフォンレンズセット」を半信半疑で試してみる 「魚眼」は実用可能
ITmedia Mobile / 2024年5月19日 11時30分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください