Группа вымогателей Mallox обновляет варианты вредоносных программ и тактику уклонения

Jul 07, 2023

Группа вымогателей Mallox активизирует свою игру в целенаправленных атаках на организации с уязвимыми SQL-серверами. Недавно он появился с новым вариантом и различными дополнительными вредоносными инструментами для обеспечения устойчивости и уклонения от обнаружения, поскольку он продолжает набирать обороты.

Malloz (также известный как TargetCompany, Fargo и Tohnichi) появился в июне 2021 года. В своих последних атаках он объединил свою специальную программу-вымогатель с двумя проверенными вредоносными продуктами — Remcos RAT и обфускатором BatCloak, как сообщили сегодня исследователи из TrendMicro в своем блоге.

Тем не менее, тактика, которую группа использовала для получения доступа к сетям целевых организаций, остается неизменной в последней кампании — «эксплуатация уязвимых серверов SQL для постоянного развертывания первого этапа», — рассказали в своем посте Дон Овид Ладорес и Натаниэль Моралес из TrendMicro. .

Действительно, Mallox, который уже утверждает, что заразил сотни организаций по всему миру в таких секторах, как производство, розничная торговля, оптовая торговля, юридические и профессиональные услуги, обычно использует две уязвимости удаленного выполнения кода (RCE) в SQL: CVE-2020-0618 и CVE. -2019-1068, в своих атаках.

Тем не менее, как обнаружили исследователи, группа также начала меняться на более поздних стадиях атаки, чтобы поддерживать скрытое присутствие в целевых сетях и скрывать свою вредоносную активность.

«Процедура пробует различные направления для сохранения устойчивости, например, изменяет URL-адреса или применимые пути, пока не найдет область для выполнения Remcos RAT», — написали они.

Команда выявила кампанию после расследования подозрительных сетевых подключений, связанных с PowerShell, что привело ее к обнаружению нового варианта Mallox, который TrendMicro называет TargetCompany.

«Когда мы проверили двоичный файл полезной нагрузки, мы увидели, что этот вариант принадлежит ко второй версии указанного семейства программ-вымогателей, обычно характеризующейся подключением к серверу управления и контроля (C2) с целевой страницей /ap.php». », — сообщили исследователи в своем посте.

Однако, поскольку первоначальная попытка доступа была пресечена и заблокирована существующими решениями безопасности, «злоумышленники решили использовать [полностью необнаружимую] версию своих двоичных файлов, завернутую в FUD», для продолжения атаки», пишут исследователи.

FUD — это метод обфускации, который используют злоумышленники, который автоматически шифрует программы-вымогатели, чтобы обойти технологию обнаружения на основе сигнатур, тем самым повышая шансы на успех. По данным TrendMicro, Mallox, похоже, использует стиль FUD, используемый BatCloak: использует пакетный файл в качестве внешнего слоя, а затем декодирует и загружает его с помощью PowerShell для выполнения LOLBins.

По словам исследователей, группа также использовала хакерский инструмент Metasploit, который был развернут на более позднем этапе атаки, прежде чем Remcos RAT завершил свою последнюю процедуру, для загрузки программы-вымогателя Mallox, завернутой в упаковщик FUD.

Хотя использование упаковщиков FUD и Metasploit не является новой тактикой, оно показывает, что Mallox, как и другие злоумышленники, «будет продолжать изобретать даже самые простые средства злоупотреблений», чтобы обойти защиту, созданную организациями во избежание компрометации, отмечают исследователи.

«Группы безопасности и организации не должны недооценивать его эффективность в обходе текущих и устоявшихся решений безопасности, особенно в ключевых функциях, которые оставляют технологии практически слепыми до тех пор, пока жертва не будет задокументирована», — написали они в сообщении.

TrendMicro ожидает, что у большинства жертв Mallox все еще есть уязвимые SQL-серверы, которые используются для проникновения. Чтобы бороться с этим, группы безопасности должны иметь представление о пробелах в исправлениях и проверять все возможные поверхности атак, чтобы гарантировать, что их соответствующие системы не подвержены злоупотреблениям и эксплуатации.

Между тем, поскольку упаковщик FUD, который использует Mallox, кажется, на шаг впереди текущих решений безопасности, которые используют большинство организаций, возможно, пришло время активизировать игру и добавить решения для проверки файлов и мониторинга поведения на основе искусственного интеллекта и машинного обучения. в эту смесь, отметили исследователи.