今天小編分享的科技經驗:警惕!新型勒索軟體快速擴張,歡迎閲讀。
Mallox(又名 TargetCompany、FARGO 和 Tohnichi)是一種針對 Windows 系統的勒索軟體。自 2021 年 6 月出現以來就一直很活躍,并以利用不安全的 MS-SQL 伺服器作為攻擊手段來攻擊受害者的網絡而聞名。
最近,Unit 42 的研究人員觀察到與去年相比,利用 MS-SQL 伺服器傳播勒索軟體的 Mallox 勒索軟體活動增加了近 174%。研究人員觀察到,Mallox 勒索軟體使用暴力破解、數據泄露和網絡掃描器等工具。此外,有迹象表明,該組織正在擴大其業務,并在黑客論壇上招募成員。
Mallox 勒索軟體概述
與許多其他勒索軟體一樣,Mallox 勒索軟體使用了雙重勒索方法:在加密組織檔案之前竊取數據,然後威脅将竊取的數據發布在泄露網站上,增加勒索籌碼。
下圖顯示了 Tor 浏覽器上的 Mallox 勒索軟體網站。盡管這些組織的名稱和标識已經被塗黑,但這就是該組織展示其目标泄露數據的方式。
Tor 浏覽器上的 Mallox 網站
每個受害者都有一把私鑰,可以與該組織互動并協商條款和付款。下圖展示了用于交流的工具。
Tor 浏覽器上的 Mallox 私人聊天
Mallox 勒索軟體幕後組織聲稱有數百名受害者被攻擊。雖然受害者的實際人數尚不清楚,但分析顯示,全球有潛在受害者已經很多,涉及多個行業,包括制造業、法律服務、批發和零售業。
自 2023 年初以來,Mallox 的活動一直在不斷增加。根據研究人員追蹤分析和從公開威脅情報來源收集的數據,與 2022 年下半年相比,2023 年 Mallox 攻擊增加了約 174%。
從 2022 年下半年到 2023 年上半年的 Mallox 攻擊嘗試
初始訪問
自 2021 年出現以來,Mallox 組織一直采用相同的方法獲得初始訪問權限,該組織以不安全的 MS-SQL 伺服器為目标滲透到網絡中。這些攻擊從字典暴力攻擊開始,嘗試針對 MS-SQL 伺服器的已知或常用密碼列表。在獲得訪問權限後,攻擊者使用命令行和 PowerShell 從遠程伺服器下載 Mallox 勒索軟體負載。
響應由 Cortex XDR 和 XSIAM 引發的 Mallox 勒索軟體字典暴力攻擊而引發的警報示例
Mallox 勒索軟體感染的命令行示例:
該命令行執行以下操作:
從 hxxp://80.66.75 [ . ] 36/aRX.exe 下載勒索軟體有效負載,并保存為 tzt.exe;
運行名為 updt.ps1 的 PowerShell 腳本;
接下來,有效負載繼續執行以下操作(未在上面顯示的命令行腳本中顯示):
下載另一個名為 system.bat 的檔案,并将其保存為 tzt.bat;
"tzt.bat" 檔案用于創建名為 "SystemHelp" 的用户,并啓用 RDP 協定;
使用 Windows 管理工具(WMI)執行勒索軟體有效負載 tzt.exe;
下圖顯示了 Cortex XDR 和 XSIAM 如何檢測 SQL 伺服器利用的第一階段。
SQL 伺服器利用過程(僅限于測試目)
勒索軟體執行
在進行任何加密之前,勒索軟體有效負載會嘗試多種操作以确保勒索軟體成功執行,例如:
嘗試使用 sc.exe 和 net.exe 停止和删除 sql 相關的服務。這樣,勒索軟體就可以訪問并加密受害者的檔案數據。
試圖删除卷影,使檔案加密後更難被恢復。
删除卷影副本的警報,由 Cortex XDR 和 XSIAM 引發
試圖使用微軟的 wevtutil 命令行工具清除應用程式、安全、設定和系統事件日志,以阻止檢測和取證分析工作;
使用 Windows 内置的 takeown.exe 命令修改檔案權限,拒絕訪問 cmd.exe 和其他關鍵系統進程;
防止系統管理員使用 bcdedit.exe 手動加載系統映像恢復功能;
試圖使用 taskkill.exe 終止與安全相關的進程和服務,以逃避檢測;
試圖繞過檢測反勒索軟體產品,如果存在,通過删除其系統資料庫項。下圖是整個過程的一個示例。
删除檢測系統資料庫項
如下圖所示,勒索軟體的流程樹中顯示了上述一些活動:
攻擊的完整進程樹,如 Cortex XDR 和 XSIAM 所示(僅為檢測模式)
這個調查的 Mallox 勒索軟體示例使用 ChaCha20 加密算法對檔案進行加密,并為加密的檔案添加 .malox 擴展名。除了使用受害者的名字作為擴展名之外,觀察到的其他檔案擴展名還有:.FARGO3、.colouse、.avast、.bitenc 和 .xollam。有關 Cortex XDR 中加密檔案的示例如下圖所示。
Cortex XDR 檢測到的 Mallox 勒索軟體加密的檔案示例(僅為檢測模式)
Mallox 在受害者驅動器的每個目錄中都留下了一張勒索信,其中解釋了感染情況并提供了聯系信息,如下圖所示。
Mallox 勒索信示例
執行後,惡意軟體會自行删除。
根據其一名成員的説法,Mallox 是一個相對較小且封閉的組織。然而,該組織似乎正在通過招募附屬公司來擴大業務。
在這次采訪幾天後,一位名叫 Mallex 的用户在黑客論壇 RAMP 上發帖稱,Mallox 勒索軟體組織正在為一個新的 Mallox 軟體即服務(RaaS)分支計劃招募分支機構,如下圖所示。
用户 Mallx 在 RAMP 上的帖子
早在 2022 年 5 月,一位名叫 RansomR 的用户在著名的黑客論壇上發帖稱,Mallox 組織正在尋找加入該組織的附屬公司。
RansomR 在 null 上的帖子
如果他們的計劃取得成功,Mallox 組織可能會擴大其覆蓋範圍,以攻擊更多的組織。
總結
Mallox 勒索軟體組織在過去幾個月裏更加活躍,如果招募附屬機構成功,他們最近的招募工作可能使他們能夠攻擊更多的組織。
組織應該時刻保持高度警惕,并準備好防御勒索軟體的持續威脅。這不僅适用于 Mallox 勒索軟體,也适用于其他勒索軟體。
建議确保所有面向互聯網的應用程式都配置正确,所有系統都打了補丁并盡可能更新。這些措施将有助于減少攻擊面,從而限制攻擊。
部署 XDR/EDR 解決方案來執行内存檢查和檢測進程注入技術。執行攻擊搜索,尋找與安全產品防御逃避、服務帳户橫向移動和網域管理員相關的用户行為相關的異常行為的迹象。
緩解措施
Palo Alto Networks Cortex XDR 檢測并阻止 Mallox 勒索軟體執行的檔案操作和其他活動。
阻止 Mallox 執行的終端用户通知
由 Cortex XDR 和 XSIAM 引發的可疑檔案修改警報(僅為檢測模式)
SmartScore 是一個獨特的機器學習驅動的評分引擎,它将安全調查方法及其相關數據轉換為混合評分系統,對涉及 Mallox 勒索軟體的事件進行了 100 分的評分。這種類型的評分可以幫助分析人員确定哪些事件更緊急,并提供評估原因,幫助确定優先級。
關于 Mallox 勒索軟體事件的 SmartScore 信息
針對 Mallox 勒索軟體的安全產品要具有以下功能,才能起到有效保護:
識别已知的惡意樣本;
高級 URL 過濾和 DNS 安全将與該組織關聯的網域識别為惡意;
通過分析來自多個數據源(包括終端、網絡防火牆、Active Directory、身份和訪問管理解決方案以及雲工作負載)的用户活動來檢測基于用户和憑據的威脅。另外,還可以通過機器學習建立用户活動的行為概況。通過将新活動與過去的活動和預期行為進行比較,檢測到攻擊的異常活動。