Mallox Ransomware Group überarbeitet Malware-Varianten und Umgehungstaktiken

Die Ransomware-Gruppe Mallox verstärkt gezielte Angriffe gegen Organisationen mit anfälligen SQL-Servern. Es tauchte kürzlich mit einer neuen Variante und verschiedenen zusätzlichen Malware-Tools auf, um Persistenz zu erreichen und der Erkennung zu entgehen, während es immer mehr an Bedeutung gewinnt.

Malloz (alias TargetCompany, Fargo und Tohnichi) tauchte im Juni 2021 auf. Bei seinen jüngsten Angriffen kombinierte es seine benutzerdefinierte Ransomware mit zwei bewährten Malware-Produkten – der Remcos RAT und der BatCloak-Obfuskator, Forscher von TrendMicro in einem Blog-Beitrag enthüllt heute.

Allerdings bleibt die Taktik, mit der sich die Gruppe Zugang zu den Netzwerken gezielter Organisationen verschaffte, auch in der jüngsten Kampagne konsequent: „Die Ausnutzung anfälliger SQL-Server, um ihre erste Stufe dauerhaft bereitzustellen“, verrieten Don Ovid Ladores und Nathaniel Morales von TrendMicro in der Post.

Tatsächlich, Mallox – was schon behauptet Hunderte von Organisationen weltweit in Branchen wie Fertigung, Einzelhandel, Großhandel, Rechtswesen und professionelle Dienstleistungen infiziert zu haben – nutzt häufig zwei RCE-Schwachstellen (Remote Code Execution) in SQL aus, CVE-2020-0618 und CVE-2019-1068, in seinen Angriffen.

Die Forscher stellten jedoch fest, dass die Gruppe in späteren Phasen des Angriffs auch damit begonnen hat, die Dinge zu ändern, um eine heimliche Präsenz in Zielnetzwerken aufrechtzuerhalten und ihre böswilligen Aktivitäten zu verbergen.

„Die Routine probiert verschiedene Schritte aus, um die Dauerhaftigkeit zu erreichen, z. B. das Ändern der URLs oder der entsprechenden Pfade, bis sie erfolgreich einen Bereich zum Ausführen findet.“ Remcos RAT," Sie schrieben.

Erkennen nicht erkennbarer Malware

Das Team identifizierte die Kampagne bei der Untersuchung verdächtiger Netzwerkverbindungen im Zusammenhang mit PowerShell, was zur Entdeckung einer neuen Variante von Mallox führte, die TrendMicro als TargetCompany bezeichnet.

„Als wir die Payload-Binärdatei überprüften, stellten wir fest, dass die Variante zur zweiten Version der besagten Ransomware-Familie gehört, die üblicherweise durch eine Verbindung zu einem Command-and-Control-Server (C2) mit einer Landingpage „/ap.php“ gekennzeichnet ist „, verrieten die Forscher in dem Beitrag.

Da der erste Zugriffsversuch jedoch abgebrochen und durch bestehende Sicherheitslösungen blockiert wurde, „entschieden sich die Angreifer dafür, die [völlig nicht nachweisbare] FUD-verpackte Version ihrer Binärdateien zu verwenden“, um ihren Angriff fortzusetzen“, schreiben die Forscher.

FUD ist eine von Angreifern verwendete Verschleierungstechnik, die Ransomware automatisch verschlüsselt, um signaturbasierte Erkennungstechnologie zu umgehen und so ihre Erfolgsaussichten zu verbessern. Mallox scheint einen von BatCloak verwendeten FUD-Stil zu verwenden – eine Batch-Datei als äußere Ebene zu verwenden und sie dann mit PowerShell zu dekodieren und zu laden, um eine zu erstellen LOLBins Ausführung, laut TrendMicro.

Die Gruppe nutzte auch das Hacking-Tool Metasploit, das in einer späteren Phase des Angriffs eingesetzt wurde, bevor der Remcos RAT seine letzte Routine abschließt, um die im FUD-Packer verpackte Mallox-Ransomware zu laden, sagten die Forscher.

Die Verwendung von FUD-Packern und Metasploit seien zwar keine neuen Taktiken, aber es zeige, wie Mallox, wie andere Angreifer auch, „selbst die einfachsten Missbrauchsmethoden weiterhin erneuern werde“, um den Abwehrmaßnahmen von Organisationen zu entgehen, um eine Kompromittierung zu vermeiden, stellten die Forscher fest.

„Sicherheitsteams und Organisationen sollten die Wirksamkeit bei der Umgehung aktueller und etablierter Sicherheitslösungen nicht unterschätzen, insbesondere bei Schlüsselfunktionen, die Technologien nahezu blind lassen, bis ein Opfer dokumentiert ist“, schrieben sie in dem Beitrag.

So schützen Sie sich vor Mallox-Ransomware

TrendMicro geht davon aus, dass die Mehrheit der Mallox-Opfer immer noch über anfällige SQL-Server verfügen, die ausgenutzt werden, um sich Zutritt zu verschaffen. Um dem entgegenzuwirken, sollten Sicherheitsteams Einblick in ihre Patch-Lücken haben und alle möglichen Angriffsflächen überprüfen, um sicherzustellen, dass ihre jeweiligen Systeme nicht anfällig für Missbrauch und Ausnutzung sind.

Inzwischen, wie die FUD Der von Mallox verwendete Packer scheint den aktuellen Sicherheitslösungen, die die meisten Unternehmen verwenden, einen Schritt voraus zu sein. Es könnte an der Zeit sein, noch einen Schritt weiter zu gehen und dem Mix KI- und maschinelles Lernen-basierte Dateiprüfungs- und Verhaltensüberwachungslösungen hinzuzufügen Forscher bemerkten.

Darüber hinaus können Best Practices für die Netzwerkblockierung sowie spezifische Ransomware-Erkennungs- und Blockierungsmaßnahmen auch einen mehrschichtigen Ansatz bieten, um die Auswirkungen der von diesen Bedrohungen ausgehenden Risiken zu mindern.

„Organisationen sollten redundante Übungen fördern und implementieren, um sicherzustellen, dass Benutzer sich ihrer eigenen Systeme und Netzwerke bewusst sind, um Eindringversuche und die Ausführung böswilliger Aktivitäten zu verhindern“, schreiben die Forscher.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
• Quelle: https://www.darkreading.com/ics-ot/mallox-ransomware-group-steams-ahead-with-new-variant-evasion-tactics