MadMxShell: Neue Backdoor Bedrohung

B2B Cyber Security ShortNews

Beitrag teilen

Die Backdoor MadMxShell versucht über gefälschte IP Scanner und IP Management Software-Domänen Zugriff auf IT-Umgebungen zu erlangen. Verbreitet werden die falschen Domänen über Google-Ads-Kampagnen.

Anfang März 2024 haben die Sicherheitsforscher des Zscaler ThreatLabz-Teams eine neue Backdoor mit dem Namen MadMxShell aufgedeckt, über die ein bisher unbekannter Bedrohungsakteur über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen versucht. Dazu wurde die Methode des Typo-Squatting eingesetzt und verschiedene ähnlich aussehende Domains registriert, die den Namen der beliebten Port Scan-Software nachahmen. Über Google Ads- Kampagnen wurden diese Domain-Namen beworben und so an die Spitze der Suchergebnisse für zielgerichtete Keywords gebracht, um Opfer durch flüchtiges Lesen der imitierten Domain-Namen zum Klicken zu verleiten.

MadMxShell unterläuft Sicherheitslösungen

Der Bedrohungsakteur hinter dieser Malvertising-Kampagne hat die neuen Domänen zwischen November 2023 und März 2024 ins Leben gerufen. Damit werden vor allem IT-Teams und Netzwerk-Administratoren angesprochen, die diese Tools typischerweise verwenden. Eine erfolgreiche Infektion führt zur Bereitstellung der MadMxShell-Backdoor, die fortschrittliche Techniken wie DLL-Sideloading und DNS-Tunneling für die C2-Kommunikation nutzt. Diese Backdoor unterläuft herkömmliche Sicherheitslösungen durch den Einsatz von Anti-Dumping-Techniken, die Speicheranalysen und Forensik verhindern. Zscaler hat der Backdoor den Namen MadMxShell verliehen aufgrund des Einsatzes von DNS MX-Anfragen für die Command & Control-Kommunikation, die in kurzen Zeitintervallen erfolgen.

IT-Mitarbeitende im Bereich Sicherheit und Netzwerkadministration gerieten in jüngster Vergangenheit bereits öfter ins Visier von Angreifern. APT-Gruppierungen wie Nobelium oder IABs (Initial Access Broker) starten Angriffe auf diese Zielgruppe aufgrund ihrer privilegierten Zugriffsberechtigungen auf interne Systeme und Netzwerke und verkaufen dann kompromittierte IT-Umgebungen an weitere Bedrohungsakteure.

Erweiterung von IP Scanner auf IT Management-Software

Die Nutzung von Google Malvertising als Verbreitungsmethode für Trojaner, die es auf Advanced IP Scanner abgesehen haben, ist nicht neu. Allerdings wurde in der nun beobachteten Kampagne der Funktionsumfang über IP Scanner auf IT Management-Software erweitert und ahmt nun die folgenden legitimen Tools nach: Advanced IP Scanner, Angry IP Scanner, PRTG IP Scanner by Paessler und Manage Engine. Außerdem wurde die Malware, die über diese Kampagne ausgeliefert wird, nach aktuellem Wissensstand noch nicht öffentlich dokumentiert, was auf einen anderen Bedrohungsakteur hindeutet.

Die Gefahr, die von dieser Malvertising-Kampagne ausgeht, zeigt ein hohes Maß an fortschrittlichen Taktiken, Techniken und Vorgehensweisen, die auf IT-Sicherheits- und Netzwerkexperten abzielen. Die kontinuierliche Überwachung solcher sich fortentwickelnden Angriffsmuster ist entscheidend für den Schutz von Unternehmen. Bewährte Sicherheitspraktiken und Vorsicht ist beim Klick auf Links, die in den Top-Ergebnissen von Suchmaschinen erscheinen, sind angeraten. Außerdem sollte das Herunterladen von Software ausschließlich über die offiziellen Websites der Entwicklerfirmen erfolgen.

Mehr bei Zscaler.com

 


Über Zscaler

Zscaler beschleunigt die digitale Transformation, damit Kunden agiler, effizienter, widerstandsfähiger und sicherer werden können. Zscaler Zero Trust Exchange schützt Tausende von Kunden vor Cyberangriffen und Datenverlusten, indem es Nutzer, Geräte und Anwendungen an jedem Standort sicher verbindet. Die SSE-basierte Zero Trust Exchange ist die weltweit größte Inline-Cloud-Sicherheitsplattform, die über mehr als 150 Rechenzentren auf der ganzen Welt verteilt ist.


 

Passende Artikel zum Thema

Kurios: Malware-Entwickler verrät sich selbst durch Fehler

Die Entlarvung des Styx Stealers: Wie der Ausrutscher eines Hackers zur Entdeckung einer riesigen Datenmenge auf seinem eigenen Computer führte. Der ➡ Weiterlesen

NIS2-Richtlinie für die Cybersicherheit in der EU

Die Einführung der NIS2-Richtlinie der EU, die bis Oktober 2024 von den Mitgliedstaaten in nationales Recht umgesetzt werden soll, bringt ➡ Weiterlesen

Best-of-Breed für die Cybersicherheit

Geschichte wiederholt sich, auch im Bereich der Cybersicherheit. Es gibt Zyklen der Konsolidierung und der Modularisierung. Aktuell wird Konsolidierung wieder ➡ Weiterlesen

Webinar 17. September: NIS2 rechtskonform umsetzen

NIS2 Deep Dive: In einem kostenlosen, deutschsprachigem Webinar am 17. September ab 10 Uhr klärt ein Rechtsanwalt auf, wie Unternehmen ➡ Weiterlesen

Schwachstelle in der Google Cloud Platform (GCP)

Ein Unternehmen für Exposure Management, gibt bekannt, dass das Research Team eine Schwachstelle in der Google Cloud Platform (GCP) identifiziert ➡ Weiterlesen

NIST-Standards zur Quantum-Sicherheit

Die Veröffentlichung der Post-Quantum-Standards durch das National Institute of Standards and Technology (NIST) markiert einen entscheidenden Fortschritt in der Absicherung ➡ Weiterlesen

Cisco-Lizenzierungstool mit kritischen 9.8 Schwachstellen

Cisco meldet kritische Schwachstellen in der Cisco Smart Licensing Utility die einen CVSS Score 9.8 von 10 erreichen. Diese Schwachstellen ➡ Weiterlesen

Ransomware-Attacken: 6 von 10 Unternehmen angegriffen

Die Bitkom hat mehr als 1.000 Unternehmen in Deutschland befragt: Mehr als die Hälfte der Unternehmen werden Opfer von Ransomware-Attacken ➡ Weiterlesen