Mallox Ransomware Group fornyer Malware-varianter, Evasion Tactics

Mallox ransomware-gruppen optrapper sit spil i målrettede angreb mod organisationer med sårbare SQL-servere. Det dukkede op for nylig med en ny variant og forskellige yderligere malware-værktøjer for at opnå vedholdenhed og undgå registrering, mens den fortsætter med at tage fart.

Malloz (aka TargetCompany, Fargo og Tohnichi) dukkede op i juni 2021. I sine seneste angreb kombinerede den sin tilpassede ransomware med to dokumenterede malware-produkter - Remcos RAT og BatCloak obfuscator, forskere fra TrendMicro afsløret i et blogindlæg i dag.

Når det er sagt, forbliver den taktik, som gruppen brugte til at få adgang til målrettede organisationers netværk, konsekvent i den seneste kampagne - "udnyttelsen af ​​sårbare SQL-servere til vedvarende at implementere sin første fase," afslørede TrendMicros Don Ovid Ladores og Nathaniel Morales i stillingen.

Faktisk Mallox - som allerede hævder at have inficeret hundredvis af organisationer over hele verden inden for sektorer som fremstilling, detailhandel, engros, juridiske og professionelle tjenester - udnytter almindeligvis to sårbarheder til fjernudførelse af kode (RCE) i SQL, CVE-2020-0618 , CVE-2019-1068, i sine angreb.

Men gruppen er også begyndt at skifte ting op i senere stadier af angrebet for at opretholde en snigende tilstedeværelse på målrettede netværk og skjule sin ondsindede aktivitet, fandt forskerne.

"Rutinen forsøger forskellige retninger for at forsøge vedholdenhed, såsom at ændre URL'erne eller anvendelige stier, indtil den med succes finder et område til at udføre Remcos RAT, ”Skrev de.

Registrerer uopdagelig malware

Holdet identificerede kampagnen efter undersøgelse af mistænkelige netværksforbindelser relateret til PowerShell, hvilket førte den til opdagelsen af ​​en ny variant af Mallox, som TrendMicro refererer til som TargetCompany.

"Da vi tjekkede den binære nyttelast, så vi, at varianten tilhører den anden version af den nævnte ransomware-familie, almindeligvis karakteriseret ved en forbindelse til en kommando-og-kontrol-server (C2) med en '/ap.php'-landingsside ,« afslørede forskerne i opslaget.

Men da det første forsøg på adgang blev afsluttet og blokeret af eksisterende sikkerhedsløsninger, "valgte angriberne at bruge den [fuldt uopdagelige] FUD-indpakkede version af deres binære filer" for at fortsætte sit angreb," skrev forskerne.

FUD er en sløringsteknik, som angribere bruger, der automatisk forvrider ransomware for at undvige signaturbaseret detektionsteknologi og dermed forbedre chancerne for succes. Mallox ser ud til at bruge en FUD-stil, der bruges af BatCloak - ved at bruge en batch-fil som et ydre lag og derefter afkode og indlæse ved hjælp af PowerShell for at lave en LOLBins udførelse, ifølge TrendMicro.

Gruppen brugte også hackerværktøjet Metasploit, som blev indsat i et senere trin af angrebet, før Remcos RAT afslutter sin endelige rutine, for at indlæse Mallox ransomware pakket ind i FUD-pakkeren, sagde forskerne.

Mens brug af FUD-pakkere og Metasploit ikke er nye taktikker, viser det, hvordan Mallox, ligesom andre angribere, "vil blive ved med at innovere selv de enkleste misbrugsmidler" for at undgå forsvar, der er opstillet af organisationer for at undgå kompromis, bemærkede forskerne.

"Sikkerhedsteams og -organisationer bør ikke undervurdere deres effektivitet i at omgå nuværende og etablerede sikkerhedsløsninger, især i nøglefunktioner, der efterlader teknologier næsten blinde, indtil et offer er dokumenteret," skrev de i indlægget.

Sådan forsvarer du dig mod Mallox Ransomware

TrendMicro forventer, at størstedelen af ​​Mallox’ ofre stadig har sårbare SQL-servere, som bliver udnyttet til at få adgang. For at bekæmpe dette bør sikkerhedshold have synlighed i deres patching-huller og kontrollere alle mulige angrebsoverflader for at sikre, at deres respektive systemer ikke er modtagelige for misbrug og udnyttelse.

I mellemtiden, som FUD pakker, som Mallox bruger, ser ud til at være et skridt foran de nuværende sikkerhedsløsninger, som de fleste organisationer bruger, er det måske på tide at øge spillet og tilføje AI- og maskinlæringsbaserede filkontrol- og adfærdsovervågningsløsninger til blandingen. bemærkede forskere.

Desuden kan bedste praksis for netværksblokering samt specifikke ransomware-detektion og blokeringsforanstaltninger også give en flerlagstilgang til at afbøde virkningen af ​​de risici, som disse trusler udgør.

"Organisationer bør tilskynde til og implementere overflødige øvelser, der sikrer brugernes bevidsthed om deres egne systemer og netværk for at forhindre indtrængningsforsøg og udførelse af ondsindede aktiviteter," skrev forskerne.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
• Kilde: https://www.darkreading.com/ics-ot/mallox-ransomware-group-steams-ahead-with-new-variant-evasion-tactics