Zscalerはこのほど、「New Backdoor, MadMxShell|ThreatLabz」において、セキュリティ技術者およびネットワーク技術者を標的とする新しいマルウェア配布キャンペーンを発見したとして、注意を呼び掛けた。このキャンペーンでは新しいバックドア「MadMxShell」の配布が確認されている。
新しいマルウェア配布キャンペーン
Zscalerによるとこのキャンペーンは2023年11月から2024年3月にかけてGoogle広告を悪用して実施されたという。悪意のある広告は「Advanced IP Scanner」、「Angry IP Scanner」、「Angry IP Scanner」、「Manage Engine」などの検索キーワードで表示され、広告をクリックすると悪意のあるWebサイト「advanced-ip-scanz[.]net」に誘導されたとしている。
このWebサイトは無料のネットワークスキャンツール「Advanced IP Scanner」の公式サイトに偽装しており、このWebサイトからAdvanced IP Scannerをダウンロードすると悪意のあるZIPファイルをダウンロードすることになる。
バックドア「MadMxShell」の正体
ダウンロードしたZIPファイルには「Advanced-ip-scanner.exe」と「IVIEWERS.dll」が含まれている。前者は正規のOLE/COMオブジェクトビューワー「oleview.exe」のコピーで、後者は分析妨害技術を導入した悪意のあるダイナミックリンクライブラリ(DLL: Dynamic Link Library)とされる。
Advanced-ip-scanner.exeを実行すると、サイドローディング技術を使用してIVIEWERS.dllがロードされる。IVIEWERS.dllはリソースとして保持している高度に難読化されたシェルスクリプトを復元、実行する。シェルスクリプトはIVIEWERS.dllに保存されていた悪意のある実行可能ファイルを抽出し、プロセスハロウィング(Process Hollowing)技術を使用して新しいAdvanced-ip-scanner.exeプロセスに注入、実行する。
悪意のある実行可能ファイルは同様の工程を再度繰り返し、最終的にシェルコードを展開、実行する。このシェルコードがバックドア「MadMxShell」とされる。MadMxShellにはシステム情報の窃取、ファイルの読み書き、ファイルの削除、cmd.exeを使用したコマンドの実行機能などがあるとみられている。
対策
このキャンペーンを実行した脅威アクターは高度な戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)を使用し、セキュリティソリューションの検出を回避するために多大な努力をしているという。Zscalerはこのような攻撃を回避するため、検索サイトの広告には注意を払い、ソフトウェアをダウンロードするときは広告からではなく正規サイトからダウンロードすることを推奨している。