Mallox fidye yazılımı grubu, savunmasız SQL sunucularına sahip kuruluşlara yönelik hedefli saldırılarda oyununu hızlandırıyor. Kalıcılık sağlamak ve ivme kazanmaya devam ederken tespit edilmekten kaçınmak için yeni bir değişken ve çeşitli ek kötü amaçlı yazılım araçlarıyla yakın zamanda ortaya çıktı.
Malloz (aka TargetCompany, Fargo ve Tohnichi) Haziran 2021’de ortaya çıktı. En son saldırılarında, özel fidye yazılımını kanıtlanmış iki kötü amaçlı yazılım ürünüyle birleştirdi: TrendMicro araştırmacıları, bugün bir blog gönderisinde ortaya koydukları Remcos RAT ve BatCloak obfuscator.
Bununla birlikte, TrendMicro’dan Don Ovid Ladores ve Nathaniel Morales gönderide grubun hedeflenen kuruluşların ağlarına giriş elde etmek için kullandığı taktiğin en son kampanyada tutarlı olmaya devam ettiğini – “savunmasız SQL sunucularının ilk aşamasını ısrarla konuşlandırmak için sömürülmesi” olduğunu açıkladı. .
Gerçekten de üretim, perakende, toptan satış, hukuk ve profesyonel hizmetler gibi sektörlerde dünya çapında yüzlerce kuruluşa bulaştığını iddia eden Mallox, SQL, CVE-2020-0618 ve CVE’deki iki uzaktan kod yürütme (RCE) güvenlik açığından yaygın olarak yararlanır. -2019-1068, saldırılarında.
Ancak araştırmacılar, grubun, hedeflenen ağlarda gizli bir varlık sürdürmek ve kötü niyetli faaliyetlerini gizlemek için saldırının sonraki aşamalarında bazı şeyleri değiştirmeye başladığını da buldu.
“Rutin, Remcos RAT’ı yürütmek için başarılı bir şekilde bir alan bulana kadar URL’leri veya uygulanabilir yolları değiştirmek gibi kalıcılığı denemek için çeşitli yönergeleri dener” diye yazdılar.
Tespit Edilemeyen Kötü Amaçlı Yazılımları Tespit Etme
Ekip, kampanyayı PowerShell ile ilgili şüpheli ağ bağlantılarının araştırılması üzerine belirledi ve bu, TrendMicro’nun TargetCompany olarak adlandırdığı Mallox’un yeni bir türünün keşfedilmesine yol açtı.
“Yük ikili dosyasını kontrol ettiğimizde, varyantın söz konusu fidye yazılımı ailesinin ikinci sürümüne ait olduğunu gördük ve genellikle ‘/ap.php’ açılış sayfası olan bir komut ve kontrol (C2) sunucusuna bağlantı ile karakterize edilir. ,” araştırmacılar gönderide açıkladı.
Ancak, ilk erişim girişimi mevcut güvenlik çözümleri tarafından sonlandırılıp engellendiğinden, “saldırganlar [fully undetectable] Araştırmacılar, ikili dosyalarının FUD sarılı versiyonu “saldırısına devam edecek” diye yazdı.
FUD, saldırganların imza tabanlı algılama teknolojisinden kaçmak için fidye yazılımlarını otomatik olarak karıştıran ve böylece başarı şansını artıran bir şaşırtma tekniğidir. TrendMicro’ya göre Mallox, BatCloak tarafından kullanılan bir FUD stili kullanıyor – dış katman olarak bir toplu iş dosyası kullanıyor ve ardından bir LOLBins yürütmesi yapmak için PowerShell’i kullanarak kodu çözüyor ve yüklüyor.
Araştırmacılar, grubun ayrıca, Remcos RAT son rutinini tamamlamadan önce saldırının sonraki bir aşamasında konuşlandırılan Metasploit hackleme aracını FUD paketleyicisine sarılmış Mallox fidye yazılımını yüklemek için kullandığını söyledi.
Araştırmacılar, FUD paketleyicileri ve Metasploit’i kullanmak yeni taktikler olmasa da, diğer saldırganlar gibi Mallox’un da kuruluşların ödün vermekten kaçınmak için ortaya koyduğu savunmalardan kaçmak için “en basit suistimal araçlarını bile icat etmeye devam edeceğini” gösteriyor.
Gönderide, “Güvenlik ekipleri ve kuruluşları, özellikle bir kurban belgelenene kadar teknolojileri neredeyse kör bırakan temel özelliklerde, mevcut ve yerleşik güvenlik çözümlerini alt etmedeki etkinliğini hafife almamalı” diye yazdılar.
Mallox Fidye Yazılımına Karşı Nasıl Savunma Yapılır?
TrendMicro, Mallox’un kurbanlarının çoğunluğunun hala giriş elde etmek için istismar edilen savunmasız SQL Sunucularına sahip olmasını beklemektedir. Bununla mücadele etmek için güvenlik ekipleri yama boşluklarını görebilmeli ve ilgili sistemlerinin kötüye kullanım ve istismara açık olmadığından emin olmak için olası tüm saldırı yüzeylerini kontrol etmelidir.
Bu arada, Mallox’un kullandığı FUD paketleyici, çoğu kuruluşun kullandığı mevcut güvenlik çözümlerinden bir adım önde göründüğünden, oyunu hızlandırmanın ve yapay zeka ve makine öğrenimi tabanlı dosya denetimi ve davranış izleme çözümleri eklemenin zamanı gelmiş olabilir. araştırmacılar, karışıma dikkat çekti.
Ayrıca, ağ engelleme için en iyi uygulamaların yanı sıra belirli fidye yazılımı algılama ve engelleme önlemleri de bu tehditlerin sunduğu risklerin etkisini azaltmak için çok katmanlı bir yaklaşım sağlayabilir.
Araştırmacılar, “Kuruluşlar, izinsiz giriş girişimlerini ve kötü niyetli faaliyetlerin yürütülmesini önlemek için kullanıcıların kendi sistemleri ve ağları hakkında farkındalık kazanmalarını sağlayan gereksiz alıştırmaları teşvik etmeli ve uygulamalıdır.”