Mallox Ransomware Group uuendab pahavara variante ja kõrvalehoidmise taktikaid

Mallox lunavaragrupp tugevdab oma mängu sihitud rünnakutes haavatavate SQL-serverite organisatsioonide vastu. Hiljuti ilmus see uue variandi ja mitmesuguste täiendavate pahavaratööriistadega, et saavutada püsivus ja vältida avastamist, kui see hoogu kogub.

Malloz (teise nimega TargetCompany, Fargo ja Tohnichi) ilmus 2021. aasta juunis. Oma viimastes rünnakutes ühendas see kohandatud lunavara kahe tõestatud pahavaratootega – Remcos RAT ja BatCloak obfuscator, TrendMicro teadlased ilmus ajaveebipostituses täna.

Sellegipoolest püsib viimases kampaanias järjekindel taktika, mida rühmitus kasutas sihtorganisatsioonide võrkudesse pääsemiseks – "haavatavate SQL-serverite ärakasutamine oma esimese etapi püsivaks kasutuselevõtuks", paljastasid TrendMicro Don Ovid Ladores ja Nathaniel Morales. postituses.

Tõepoolest, Mallox - mis juba väidab on nakatanud sadu organisatsioone üle maailma sellistes sektorites nagu tootmine, jaemüük, hulgimüük, õigus- ja professionaalsed teenused – kasutab tavaliselt ära kahte koodi kaugkäivitamise (RCE) haavatavust SQL-is, CVE-2020-0618 ja CVE-2019-1068, oma rünnakutes.

Teadlased leidsid, et rühmitus on aga asunud asju ümber vahetama ka rünnaku hilisemates etappides, et säilitada sihitud võrkudes vargsi kohalolek ja varjata oma pahatahtlikku tegevust.

"Rutiin proovib püsivuse püüdmiseks erinevaid suundi, näiteks muudab URL-e või kohaldatavaid teid, kuni see leiab edukalt ala, kus Remcos RAT, ”Kirjutasid nad.

Tuvastamatu pahavara tuvastamine

Meeskond tuvastas kampaania pärast PowerShelliga seotud kahtlaste võrguühenduste uurimist, mis viis selle Malloxi uue variandi avastamiseni, mida TrendMicro nimetab TargetCompany'ks.

„Kui kontrollisime kasuliku koormuse binaarfaili, nägime, et variant kuulub nimetatud lunavaraperekonna teise versiooni, mida tavaliselt iseloomustab ühendus käsu- ja juhtimisserveriga (C2) sihtlehega „/ap.php”. ,” avaldasid teadlased postituses.

Kuna aga esialgne juurdepääsukatse lõpetati ja blokeeriti olemasolevate turvalahendustega, otsustasid ründajad rünnaku jätkamiseks kasutada [täielikult tuvastamatut] FUD-mähitud versiooni oma kahendfailidest,“ kirjutasid teadlased.

FUD on hägustamise tehnika, mida ründajad kasutavad, mis segab automaatselt lunavara, et vältida allkirjapõhise tuvastamise tehnoloogiat, parandades seeläbi selle eduvõimalusi. Näib, et Mallox kasutab BatCloaki kasutatud FUD-stiili – kasutab välimise kihina partiifaili ning seejärel dekodeerib ja laadib PowerShelli abil LOLBinid täitmine vastavalt TrendMicro andmetele.

Rühm kasutas ka häkkimistööriista Metasploit, mis võeti kasutusele rünnaku hilisemas etapis, enne kui Remcos RAT lõpetas oma viimase rutiini, et laadida FUD-pakendisse pakitud Mallox lunavara, ütlesid teadlased.

Kuigi FUD-pakendajate ja Metasploiti kasutamine pole uus taktika, näitab see, kuidas Mallox, nagu ka teised ründajad, "jätkab uuendusi isegi kõige lihtsamate kuritarvitamise viiside jaoks", et vältida organisatsioonide kaitset, et vältida kompromisse, märkisid teadlased.

"Turvameeskonnad ja -organisatsioonid ei tohiks alahinnata selle tõhusust praegustest ja väljakujunenud turvalahendustest möödahiilimisel, eriti võtmefunktsioonide puhul, mis jätavad tehnoloogiad peaaegu pimedaks, kuni ohver on dokumenteeritud," kirjutasid nad postituses.

Kuidas kaitsta Mallox Ransomware vastu

TrendMicro eeldab, et enamikul Malloxi ohvritest on endiselt haavatavad SQL-serverid, mida kasutatakse sisenemiseks ära. Selle vastu võitlemiseks peaksid turvameeskonnad nägema oma paigalünki ja kontrollima kõiki võimalikke ründepindu tagamaks, et nende vastavad süsteemid pole kuritarvitamise ja ärakasutamise suhtes vastuvõtlikud.

Vahepeal, nagu FUD Malloxi kasutatav pakkija näib olevat sammu võrra ees praegustest turbelahendustest, mida enamik organisatsioone kasutab. Võib-olla on aeg mängu tõhustada ning lisada segule tehisintellektil ja masinõppel põhinevad failikontrolli ja käitumise jälgimise lahendused. teadlased märkisid.

Lisaks võivad võrgu blokeerimise parimad tavad ning spetsiifilised lunavara tuvastamise ja blokeerimise meetmed pakkuda ka mitmekihilist lähenemisviisi nende ohtude mõju leevendamiseks.

"Organisatsioonid peaksid julgustama ja rakendama üleliigseid harjutusi, mis tagavad kasutajate teadlikkuse oma süsteemidest ja võrkudest, et vältida sissetungikatseid ja pahatahtlikku tegevust," kirjutasid teadlased.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
• Allikas: https://www.darkreading.com/ics-ot/mallox-ransomware-group-steams-ahead-with-new-variant-evasion-tactics