Mallox Ransomware Group rinnova varianti malware e tattiche di evasione

Jul 07, 2023

Il gruppo ransomware Mallox sta intensificando la propria azione con attacchi mirati contro organizzazioni con server SQL vulnerabili. È emerso di recente con una nuova variante e vari strumenti malware aggiuntivi per ottenere persistenza ed eludere il rilevamento mentre continua ad acquisire slancio.

Malloz (alias TargetCompany, Fargo e Tohnichi) è emerso nel giugno 2021. Nei suoi ultimi attacchi, ha combinato il suo ransomware personalizzato con due prodotti malware comprovati: Remcos RAT e l'offuscatore BatCloak, hanno rivelato oggi i ricercatori di TrendMicro in un post sul blog.

Detto questo, la tattica utilizzata dal gruppo per ottenere l'accesso alle reti delle organizzazioni prese di mira rimane coerente nell'ultima campagna: "lo sfruttamento di server SQL vulnerabili per implementare in modo persistente la sua prima fase", hanno rivelato nel post Don Ovid Ladores e Nathaniel Morales di TrendMicro. .

In effetti, Mallox, che afferma già di aver infettato centinaia di organizzazioni in tutto il mondo in settori quali produzione, vendita al dettaglio, vendita all'ingrosso, servizi legali e professionali, sfrutta comunemente due vulnerabilità RCE (Remote Code Execution) in SQL, CVE-2020-0618 e CVE -2019-1068, nei suoi attacchi.

Tuttavia, hanno scoperto i ricercatori, il gruppo ha anche iniziato a cambiare le cose nelle fasi successive dell’attacco per mantenere una presenza furtiva sulle reti prese di mira e nascondere la sua attività dannosa.

"La routine tenta varie direzioni per tentare la persistenza, come modificare gli URL o i percorsi applicabili finché non trova con successo un'area per eseguire Remcos RAT", hanno scritto.

Il team ha identificato la campagna dopo aver indagato su connessioni di rete sospette relative a PowerShell, che lo hanno portato alla scoperta di una nuova variante di Mallox, che TrendMicro chiama TargetCompany.

"Quando abbiamo controllato il payload binario, abbiamo visto che la variante appartiene alla seconda versione della suddetta famiglia di ransomware, comunemente caratterizzata da una connessione a un server di comando e controllo (C2) con una pagina di destinazione '/ap.php' ", hanno rivelato i ricercatori nel post.

Tuttavia, poiché il tentativo iniziale di accesso è stato interrotto e bloccato dalle soluzioni di sicurezza esistenti, "gli aggressori hanno scelto di utilizzare la versione [completamente non rilevabile] dei loro file binari" per continuare l'attacco", hanno scritto i ricercatori.

FUD è una tecnica di offuscamento utilizzata dagli aggressori che codifica automaticamente il ransomware per eludere la tecnologia di rilevamento basata sulle firme, aumentando così le sue possibilità di successo. Sembra che Mallox utilizzi uno stile FUD impiegato da BatCloak, utilizzando un file batch come livello esterno e quindi decodificandolo e caricandolo utilizzando PowerShell per eseguire un'esecuzione LOLBins, secondo TrendMicro.

Il gruppo ha anche utilizzato lo strumento di hacking Metasploit, che è stato implementato in una fase successiva dell'attacco prima che Remcos RAT concludesse la sua routine finale, per caricare il ransomware Mallox avvolto nel packer FUD, hanno detto i ricercatori.

Anche se l'uso dei packer FUD e Metasploit non è una tattica nuova, mostra come Mallox, come altri aggressori, "continuerà a innovare anche i mezzi di abuso più semplici" per eludere le difese messe in piedi dalle organizzazioni per evitare compromessi, hanno osservato i ricercatori.

"I team e le organizzazioni di sicurezza non dovrebbero sottovalutare la sua efficacia nell'eludere le soluzioni di sicurezza attuali e consolidate, soprattutto nelle funzionalità chiave che lasciano le tecnologie quasi cieche finché la vittima non viene documentata", hanno scritto nel post.

TrendMicro prevede che la maggior parte delle vittime di Mallox disponga ancora di SQL Server vulnerabili che vengono sfruttati per ottenere l'accesso. Per combattere questo problema, i team di sicurezza dovrebbero avere visibilità sulle lacune di patching e controllare tutte le possibili superfici di attacco per garantire che i rispettivi sistemi non siano suscettibili di abuso e sfruttamento.

Nel frattempo, poiché il packer FUD utilizzato da Mallox sembra essere un passo avanti rispetto alle attuali soluzioni di sicurezza utilizzate dalla maggior parte delle organizzazioni, potrebbe essere il momento di intensificare il gioco e aggiungere soluzioni di controllo dei file e monitoraggio del comportamento basate sull'intelligenza artificiale e sull'apprendimento automatico. al mix, hanno notato i ricercatori.