Bilgisayar Korsanları Mallox Fidye Yazılımını Dağıtmak İçin MS-SQL Sunucularından Yararlanıyor


Bilgisayar Korsanları Mallox Fidye Yazılımını Dağıtmak İçin MS-SQL Sunucularından Yararlanıyor

Mali kayıtlar, müşteri bilgileri ve kara web pazarlarında satılabilecek fikri mülkiyet gibi bilgiler MS-SQL sunucularında yaygın olarak depolanan bilgilerdir.

Ek olarak, saldırıya uğramış bir MS-SQL sunucusu, fidye yazılımının dağıtılabileceği veya diğer kötü amaçlı etkinliklerin gerçekleştirilebileceği kuruluşun ağına bir giriş noktası oluşturabilir.

MS-SQL kurulumlarındaki zayıf parolalar, yamalanmamış güvenlik açıkları ve yanlış yapılandırmalar nedeniyle, otomatik tarama ve istismar araçlarını kullanan tehdit aktörleri bunları çekici buluyor.

Son zamanlarda Sekoi’deki siber güvenlik araştırmacıları, bilgisayar korsanlarının Malloz fidye yazılımını dağıtmak için MS-SQL sunucularından aktif olarak yararlandığını keşfetti.

Teknik Analiz

15 Nisan’da konuşlandırılan bir MS-SQL bal küpü, XHost İnternet Çözümü IP’lerinin zayıf “sa” hesabına dakikada yaklaşık 320 denemeyle kaba kuvvet saldırısı yoluyla hızla saldırıya uğradı.

Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın

Saldırı sonrasında saldırganlar, PureCrypter kullanarak Mallox fidye yazılımını dağıtmak için MS-SQL açıklarından yararlandı.

Mallox örneklerinin incelenmesi, biri güvenlik açıklarından yararlanan, diğeri ise daha geniş sistem ihlalleri gerçekleştiren iki bağlı grubu ortaya çıkardı.

15 Nisan günü saat 14:17’de, AS208091 IP’lerinden tahrif edilmiş MS-SQL bal küpü üzerinde, ilk “sa” hesap ihlalinden yalnızca birkaç saat sonra yararlanma girişimleri başladı.

Günlüğe kaydedilen saldırgan eylemleri analiz edilirken, iki farklı yinelenen istismar planı ortaya çıktı. Bu planlar muhtemelen komut dosyaları veya araçlar kullanılarak yürütülüyordu.

IoC’ler ve TTP’ler incelenerek birçok denemeden 19’unun tek ve aynı izinsiz giriş setine karşılık gelen bir çift ayrı model tanımladığı bulundu.

Mallox dağıtım akışı (Kaynak – Sekoia)

MS-SQL’den yararlanma, şifrelenmiş .NET kitaplıkları içeren rastgele multimedya uzantılarına sahip dosyaları indiren PureCrypter’a karşılık gelen konuşlandırılmış yükleri denemektedir.

Bu kütüphaneler Reflectively yüklendi, şifreleri çözüldü ve sonunda Mallox fidye yazılımını kaynaklarından yükleyen PureCrypter yükünün bir sonraki aşamasını yürüttüler.

PureCrypter, ortam tespiti, ayrıcalık ayarlamaları ve gömülü kaynakların şifresini çözme veya söndürme gibi kaçırma tekniklerini kullanır.

PureCrypter başarısız olduğunda saldırgan doğrudan Mallox dağıtımını denedi. PureCrypter, şifrelenmiş Mallox yürütülebilir dosyasını “Ydxhjxwf.exe” gibi rastgele bir ad altında depolamak için protobuf tanımlarını kullanır.

Mallox, Fargo, TargetCompany vb. olarak da bilinen Mallox fidye yazılımının birden fazla varyantını dağıtan kötü şöhretli bir hizmet olarak fidye yazılımı (RaaS) işlemidir.

2022’nin sonlarında çift gasp kullanarak saldırıları hızlandırdı ve 2023’ün başlarında en çok dağıtılan fidye yazılımı ailelerinden biri haline geldi. Mallox operatörleri MS-SQL sunucularındaki güvenlik açıklarından yararlanıyor, zayıf kimlik bilgilerinden kaba kuvvet kullanıyor ve ilk erişim için kimlik avından yararlanıyor.

Büyük olasılıkla eski fidye yazılımı grubu üyeleri tarafından işletilen Mallox, 2022 ortalarında “Mallx” ve “RansomR” gibi kişilerin RAMP gibi forumlarda Rusça konuşan bağlı kuruluşları işe aldığı bir RaaS modeline geçti.

2022’nin ortalarına gelindiğinde Mallox fidye yazılımı, veri sızdırma ve çalınan verileri kamuya duyurma şeklindeki çifte gasp tekniğini kullanmayı öğrendi. Raporda, daha sonra TOR konusunda uzmanlaşmış müzakere sitelerine yöneldiği ve üçlü bir gasp stratejisi kullandığı belirtiliyor.

Mallox, 2022-2023’te Doğu Avrupa’ya saldırmaktan kaçındığını iddia etmesine rağmen imalat ve perakende gibi çeşitli alanlardaki Asyalı kurbanları ağır bir şekilde etkileyerek ellerini kirletti.

Etkilenen ülkeler (Kaynak – Sekoia)

Dökümlü bilgilerin yayınlandığı web sitesi 35’ten fazla kurbanın adını içeriyordu. Bir analiz, ilk uzlaşma sırasında Mallox çalışanları arasındaki MS-SQL boşluklarının “maestro” tarafından istismar edildiğini gösterdi.

On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free



Source link