Mallox Ransomware Group uudistaa haittaohjelmien versiot ja väistötaktiikat

Mallox ransomware -ryhmä tehostaa peliään kohdistetuissa hyökkäyksissä organisaatioita vastaan, joilla on haavoittuvia SQL-palvelimia. Se julkaisi äskettäin uuden muunnelman ja useiden lisähaittaohjelmatyökalujen kanssa pysyvyyden saavuttamiseksi ja havaitsemisen välttämiseksi, kun se jatkaa vauhtia.

Malloz (alias TargetCompany, Fargo ja Tohnichi) ilmestyi kesäkuussa 2021. Uusimmissa hyökkäyksissään se yhdisti mukautetun kiristysohjelman kahteen todistettuun haittaohjelmatuotteeseen - Remcos RAT ja BatCloak obfuscator, TrendMicron tutkijat paljasti blogikirjoituksessa tänään.

Kuitenkin taktiikka, jota ryhmä käytti päästäkseen kohdeorganisaatioiden verkkoihin, pysyy johdonmukaisena viimeisimmässä kampanjassa – "haavoittuvien SQL-palvelimien hyväksikäyttö ensimmäisen vaiheen jatkuvaan käyttöönottamiseksi", TrendMicron Don Ovid Ladores ja Nathaniel Morales paljastivat. postissa.

Todellakin, Mallox - mikä väittää jo on tartuttanut satoja organisaatioita eri puolilla maailmaa sellaisilla aloilla kuin valmistus, vähittäiskauppa, tukkumyynti, laki- ja asiantuntijapalvelut – hyödyntää yleensä kahta etäkoodin suorittamisen (RCE) haavoittuvuutta SQL:ssä, CVE-2020-0618 ja CVE-2019-1068, sen hyökkäyksissä.

Ryhmä on kuitenkin myös alkanut muuttaa asioita hyökkäyksen myöhemmissä vaiheissa säilyttääkseen salassa läsnäolon kohdistetuissa verkoissa ja piilottaakseen haitallisen toimintansa, tutkijat havaitsivat.

"Rutiini yrittää pysyvyyttä eri suuntiin, kuten muuttaa URL-osoitteita tai soveltuvia polkuja, kunnes se löytää onnistuneesti alueen Remcos RAT", He kirjoittivat.

Tunnistamattomien haittaohjelmien havaitseminen

Tiimi tunnisti kampanjan tutkiessaan PowerShelliin liittyviä epäilyttäviä verkkoyhteyksiä, mikä johti siihen, että löydettiin uusi Mallox-versio, jota TrendMicro kutsuu TargetCompanyksi.

"Kun tarkistimme hyötykuorman binaarin, huomasimme, että variantti kuuluu mainitun kiristysohjelmaperheen toiseen versioon, jolle on yleensä tunnusomaista yhteys komento- ja ohjauspalvelimeen (C2) '/ap.php' -aloitussivulla. ”, tutkijat paljastivat postauksessa.

Koska alkuperäinen pääsyyritys kuitenkin keskeytettiin ja estettiin olemassa olevilla tietoturvaratkaisuilla, "hyökkääjät päättivät käyttää [täysin havaitsematonta] FUD-käärettyä versiota binaaristaan" jatkaakseen hyökkäystään", tutkijat kirjoittivat.

FUD on hyökkääjien käyttämä hämärätekniikka, joka sekoittaa automaattisesti kiristysohjelmia väistääkseen allekirjoituspohjaisen tunnistustekniikan ja parantaa näin onnistumismahdollisuuksiaan. Mallox näyttää käyttävän BatCloakin käyttämää FUD-tyyliä – käyttämällä erätiedostoa ulkokerroksena ja dekoodaavan ja lataavan sitten PowerShellin avulla. LOLBinit toteutus TrendMicron mukaan.

Ryhmä käytti myös hakkerointityökalua Metasploit, joka otettiin käyttöön hyökkäyksen myöhemmässä vaiheessa ennen kuin Remcos RAT saa päätökseen viimeisen rutiininsa lataamaan Mallox-lunnasohjelmat FUD-pakkauslaitteeseen käärittynä, tutkijat sanoivat.

Vaikka FUD-pakkaajien ja Metasploitin käyttö eivät ole uusia taktiikoita, se osoittaa, kuinka Mallox, kuten muutkin hyökkääjät, "jatkoa innovaatioita jopa yksinkertaisimpien väärinkäytösten keinoin" kiertääkseen organisaatioiden asettamia puolustuksia välttääkseen kompromisseja, tutkijat huomauttavat.

"Turvallisuustiimien ja -organisaatioiden ei pitäisi aliarvioida sen tehokkuutta nykyisten ja vakiintuneiden tietoturvaratkaisujen kiertämisessä, erityisesti keskeisissä ominaisuuksissa, jotka jättävät tekniikat lähes sokeiksi, kunnes uhri dokumentoidaan", he kirjoittivat viestissä.

Kuinka puolustautua Mallox-ransomwarea vastaan

TrendMicro odottaa, että suurimmalla osalla Malloxin uhreista on edelleen haavoittuvia SQL-palvelimia, joita käytetään hyväksi päästäkseen sisään. Tämän torjumiseksi turvatiimien tulee nähdä korjausaukkojaan ja tarkistaa kaikki mahdolliset hyökkäyspinnat varmistaakseen, että heidän järjestelmänsä eivät ole alttiita väärinkäytöksille ja hyväksikäytölle.

Samaan aikaan, kuten FUD Malloxin käyttämä pakkaaja näyttää olevan askeleen edellä nykyisiä useimpien organisaatioiden käyttämiä tietoturvaratkaisuja, joten saattaa olla aika tehostaa peliä ja lisätä tekoälyyn ja koneoppimiseen perustuvia tiedostojen tarkistus- ja käyttäytymisen seurantaratkaisuja yhdistelmään. tutkijat huomauttivat.

Lisäksi verkon estämisen parhaat käytännöt sekä tietyt kiristysohjelmien havaitsemis- ja estotoimenpiteet voivat tarjota monikerroksisen lähestymistavan näiden uhkien aiheuttamien riskien vaikutusten lieventämiseen.

"Organisaatioiden tulisi rohkaista ja toteuttaa ylimääräisiä harjoituksia, joilla varmistetaan käyttäjien tietoisuus omista järjestelmistään ja verkoistaan ​​tunkeutumisen ja haitallisen toiminnan estämiseksi", tutkijat kirjoittivat.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
• Lähde: https://www.darkreading.com/ics-ot/mallox-ransomware-group-steams-ahead-with-new-variant-evasion-tactics