Mallox Ransomware Group renova variantes de malware e táticas de evasão

Jul 07, 2023

O grupo de ransomware Mallox está intensificando seu jogo em ataques direcionados contra organizações com servidores SQL vulneráveis. Ele surgiu recentemente com uma nova variante e várias ferramentas adicionais de malware para obter persistência e evitar a detecção à medida que continua ganhando impulso.

Malloz (também conhecido como TargetCompany, Fargo e Tohnichi) surgiu em junho de 2021. Em seus ataques mais recentes, ele combinou seu ransomware personalizado com dois produtos de malware comprovados – o Remcos RAT e o ofuscador BatCloak, revelaram pesquisadores da TrendMicro em uma postagem de blog hoje.

Dito isso, a tática que o grupo usou para obter acesso às redes das organizações-alvo permanece consistente na última campanha – “a exploração de servidores SQL vulneráveis ​​para implantar persistentemente seu primeiro estágio”, revelaram Don Ovid Ladores e Nathaniel Morales da TrendMicro no post. .

Na verdade, Mallox – que já afirma ter infectado centenas de organizações em todo o mundo em setores como manufatura, varejo, atacado, jurídico e serviços profissionais – normalmente explora duas vulnerabilidades de execução remota de código (RCE) em SQL, CVE-2020-0618 e CVE -2019-1068, em seus ataques.

No entanto, o grupo também começou a mudar as coisas em fases posteriores do ataque para manter uma presença furtiva nas redes visadas e ocultar a sua atividade maliciosa, descobriram os investigadores.

“A rotina tenta várias direções para tentar a persistência, como alterar as URLs ou caminhos aplicáveis ​​até encontrar com sucesso uma área para executar o Remcos RAT”, escreveram eles.

A equipe identificou a campanha após investigação de conexões de rede suspeitas relacionadas ao PowerShell, o que levou à descoberta de uma nova variante do Mallox, que a TrendMicro chama de TargetCompany.

“Quando verificamos o binário de carga útil, vimos que a variante pertence à segunda versão da referida família de ransomware, comumente caracterizada por uma conexão a um servidor de comando e controle (C2) com uma página de destino ‘/ap.php’ ”, revelaram os pesquisadores no post.

No entanto, como a tentativa inicial de acesso foi encerrada e bloqueada pelas soluções de segurança existentes, “os invasores optaram por usar a versão [totalmente indetectável] de seus binários embrulhados em FUD” para continuar o ataque”, escreveram os pesquisadores.

FUD é uma técnica de ofuscação usada pelos invasores que embaralha automaticamente o ransomware para evitar a tecnologia de detecção baseada em assinatura, aumentando assim suas chances de sucesso. Mallox parece estar usando um estilo FUD empregado pelo BatCloak – usando um arquivo em lote como camada externa e depois decodificando e carregando usando PowerShell para fazer uma execução de LOLBins, de acordo com TrendMicro.

O grupo também usou a ferramenta de hacking Metasploit, que foi implantada em um estágio posterior do ataque, antes que o Remcos RAT concluísse sua rotina final, para carregar o ransomware Mallox embalado no empacotador FUD, disseram os pesquisadores.

Embora o uso de empacotadores FUD e Metasploit não sejam táticas novas, ele mostra como Mallox, como outros invasores, “continuará inovando até mesmo nos meios mais simples de abuso” para escapar das defesas estabelecidas pelas organizações para evitar comprometimento, observaram os pesquisadores.

“As equipes e organizações de segurança não devem subestimar sua eficácia em contornar soluções de segurança atuais e estabelecidas, especialmente em recursos-chave que deixam as tecnologias quase cegas até que a vítima seja documentada”, escreveram no post.

A TrendMicro espera que a maioria das vítimas de Mallox ainda tenha SQL Servers vulneráveis ​​que estão sendo explorados para obter entrada. Para combater isto, as equipas de segurança devem ter visibilidade das suas lacunas de correção e verificar todas as possíveis superfícies de ataque para garantir que os seus respetivos sistemas não são suscetíveis a abusos e exploração.

Enquanto isso, como o empacotador FUD que Mallox está usando parece estar um passo à frente das soluções de segurança atuais que a maioria das organizações usa, talvez seja hora de acelerar o jogo e adicionar soluções de verificação de arquivos e monitoramento de comportamento baseadas em IA e aprendizado de máquina. à mistura, observaram os pesquisadores.