Mallox Ransomware Group, Kötü Amaçlı Yazılım Türlerini ve Kaçınma Taktiklerini Yeniliyor

Mallox fidye yazılımı grubu, savunmasız SQL sunucularına sahip kuruluşlara yönelik hedefli saldırılarda oyununu hızlandırıyor. Hız kazanmaya devam ederken kalıcılığı sağlamak ve tespit edilmekten kaçınmak için yakın zamanda yeni bir varyant ve çeşitli ek kötü amaçlı yazılım araçlarıyla birlikte ortaya çıktı.

Malloz (diğer adıyla TargetCompany, Fargo ve Tohnichi) Haziran 2021'de ortaya çıktı. En son saldırılarında, özel fidye yazılımını kanıtlanmış iki kötü amaçlı yazılım ürünüyle birleştirdi: Remcos Sıçan ve BatCloak gizleme aracı, TrendMicro'dan araştırmacılar bir blog gönderisinde ortaya çıktı bugün.

Bununla birlikte, TrendMicro'dan Don Ovid Ladores ve Nathaniel Morales, grubun hedeflenen kuruluşların ağlarına girmek için kullandığı taktiğin son kampanyada da tutarlı olduğunu ortaya koydu: "ilk aşamasını kalıcı olarak dağıtmak için savunmasız SQL sunucularının istismar edilmesi". sonrası.

Gerçekten de Mallox -ki bu zaten iddia ediyor imalat, perakende, toptan satış, hukuk ve profesyonel hizmetler gibi sektörlerde dünya çapında yüzlerce kuruluşa bulaşmıştır; genellikle SQL'deki iki uzaktan kod yürütme (RCE) güvenlik açığından yararlanır, CVE-2020-0618 ve CVE-2019-1068, saldırılarında.

Ancak araştırmacılar, grubun hedeflenen ağlarda gizli varlığını sürdürmek ve kötü niyetli faaliyetlerini gizlemek için saldırının sonraki aşamalarında bazı şeyleri değiştirmeye başladığını da tespit etti.

"Rutin, kalıcılığı sağlamak için URL'leri veya geçerli yolları değiştirmek gibi çeşitli talimatları başarıyla yürütecek bir alan bulana kadar dener. Remcos Sıçan," yazdılar.

Tespit Edilemeyen Kötü Amaçlı Yazılımların Tespiti

Ekip, kampanyayı PowerShell ile ilgili şüpheli ağ bağlantılarının araştırılması üzerine tespit etti ve bu da TrendMicro'nun TargetCompany olarak adlandırdığı Mallox'un yeni bir versiyonunun keşfedilmesine yol açtı.

“Yük ikili dosyasını kontrol ettiğimizde, varyantın söz konusu fidye yazılımı ailesinin ikinci sürümüne ait olduğunu gördük; genellikle '/ap.php' açılış sayfasına sahip bir komuta ve kontrol (C2) sunucusuna bağlantıyla karakterize ediliyor. "Araştırmacılar gönderide şunu ortaya çıkardı.

Ancak araştırmacılar, ilk erişim girişiminin mevcut güvenlik çözümleri tarafından sonlandırılıp engellenmesinden dolayı, "saldırganların saldırılarına devam etmek için ikili dosyalarının [tamamen tespit edilemeyen] FUD ile sarılmış sürümünü kullanmayı tercih ettiklerini" yazdı.

FUD, saldırganların kullandığı, imza tabanlı algılama teknolojisini atlatmak için fidye yazılımını otomatik olarak karıştıran ve böylece başarı şansını artıran bir gizleme tekniğidir. Mallox, BatCloak tarafından kullanılan bir FUD stili kullanıyor gibi görünüyor; bir toplu iş dosyasını dış katman olarak kullanıyor ve ardından PowerShell'i kullanarak kod çözüyor ve yüklüyor. LOLB kutuları TrendMicro'ya göre yürütme.

Grup ayrıca bilgisayar korsanlığı aracını da kullandı MetasploitAraştırmacılar, Remcos RAT'ın son rutinini tamamlamadan önce saldırının daha sonraki bir aşamasında, FUD paketleyicisine sarılmış Mallox fidye yazılımını yüklemek için konuşlandırıldığını söyledi.

Araştırmacılar, FUD paketleyicileri ve Metasploit'i kullanmak yeni taktikler olmasa da, diğer saldırganlar gibi Mallox'un da kuruluşların taviz vermekten kaçınmak için ortaya koyduğu savunmalardan kaçınmak için nasıl "en basit suiistimal araçlarını bile yenilemeye devam edeceğini" gösterdiğini belirtti.

Gönderide "Güvenlik ekipleri ve kuruluşları, özellikle bir kurban belgelenene kadar teknolojileri neredeyse kör bırakan temel özelliklerde, mevcut ve yerleşik güvenlik çözümlerini atlatma konusundaki etkinliğini hafife almamalı" diye yazdılar.

Mallox Fidye Yazılımına Karşı Nasıl Savunma Yapılır?

TrendMicro, Mallox kurbanlarının çoğunluğunun hâlâ giriş kazanmak için istismar edilen savunmasız SQL Sunucularına sahip olmasını bekliyor. Bununla mücadele etmek için güvenlik ekipleri yama açıklarını görebilmeli ve ilgili sistemlerin kötüye kullanıma ve istismara açık olmadığından emin olmak için olası tüm saldırı yüzeylerini kontrol etmelidir.

bu arada, olarak FUD Mallox'un kullandığı paketleyici, çoğu kuruluşun kullandığı mevcut güvenlik çözümlerinden bir adım önde gibi görünüyor, oyunu hızlandırmanın ve AI ve makine öğrenimi tabanlı dosya kontrolü ve davranış izleme çözümlerini karışıma eklemenin zamanı gelmiş olabilir. araştırmacılar kaydetti.

Ayrıca ağ engellemeye yönelik en iyi uygulamaların yanı sıra belirli fidye yazılımı tespiti ve engelleme önlemleri de bu tehditlerin sunduğu risklerin etkisini azaltmak için çok katmanlı bir yaklaşım sağlayabilir.

Araştırmacılar, "Kuruluşlar, izinsiz giriş girişimlerini ve kötü niyetli faaliyetlerin yürütülmesini önlemek için kullanıcıların kendi sistemleri ve ağları hakkında farkındalıklarını sağlayan gereksiz egzersizleri teşvik etmeli ve uygulamalıdır" diye yazdı.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
• Kaynak: https://www.darkreading.com/ics-ot/mallox-ransomware-group-steams-ahead-with-new-variant-evasion-tactics