Mallox(又名 TargetCompany、FARGO 和 Tohnichi)是一种针对 Windows 系统的勒索软件。自 2021 年 6 月出现以来就一直很活跃,并以利用不安全的 MS-SQL 服务器作为攻击手段来攻击受害者的网络而闻名。
最近,Unit 42 的研究人员观察到与去年相比,利用 MS-SQL 服务器传播勒索软件的 Mallox 勒索软件活动增加了近 174%。研究人员观察到,Mallox 勒索软件使用暴力破解、数据泄露和网络扫描仪等工具。此外,有迹象表明,该组织正在扩大其业务,并在黑客论坛上招募成员。
(资料图片仅供参考)
Mallox 勒索软件概述
与许多其他勒索软件一样,Mallox 勒索软件使用了双重勒索方法:在加密组织文件之前窃取数据,然后威胁将窃取的数据发布在泄露网站上,增加勒索筹码。
下图显示了 Tor 浏览器上的 Mallox 勒索软件网站。尽管这些组织的名称和标识已经被涂黑,但这就是该组织展示其目标泄露数据的方式。
Tor 浏览器上的 Mallox 网站每个受害者都有一把私钥,可以与该组织互动并协商条款和付款。下图展示了用于交流的工具。
Tor 浏览器上的 Mallox 私人聊天Mallox 勒索软件幕后组织声称有数百名受害者被攻击。虽然受害者的实际人数尚不清楚,但分析显示,全球有潜在受害者已经很多,涉及多个行业,包括制造业、法律服务、批发和零售业。
自 2023 年初以来,Mallox 的活动一直在不断增加。根据研究人员追踪分析和从公开威胁情报来源收集的数据,与 2022 年下半年相比,2023 年 Mallox 攻击增加了约 174%。
从 2022 年下半年到 2023 年上半年的 Mallox 攻击尝试初始访问
自 2021 年出现以来,Mallox 组织一直采用相同的方法获得初始访问权限,该组织以不安全的 MS-SQL 服务器为目标渗透到网络中。这些攻击从字典暴力攻击开始,尝试针对 MS-SQL 服务器的已知或常用密码列表。在获得访问权限后,攻击者使用命令行和 PowerShell 从远程服务器下载 Mallox 勒索软件负载。
响应由 Cortex XDR 和 XSIAM 引发的 Mallox 勒索软件字典暴力攻击而引发的警报示例Mallox 勒索软件感染的命令行示例:
该命令行执行以下操作:从 hxxp://80.66.75 [ . ] 36/aRX.exe 下载勒索软件有效负载,并保存为 tzt.exe;
运行名为 updt.ps1 的 PowerShell 脚本;
接下来,有效负载继续执行以下操作(未在上面显示的命令行脚本中显示):
下载另一个名为 system.bat 的文件,并将其保存为 tzt.bat;
"tzt.bat" 文件用于创建名为 "SystemHelp" 的用户,并启用 RDP 协议;
使用 Windows 管理工具(WMI)执行勒索软件有效负载 tzt.exe;
下图显示了 Cortex XDR 和 XSIAM 如何检测 SQL 服务器利用的第一阶段。
SQL 服务器利用过程(仅限于测试目)勒索软件执行
在进行任何加密之前,勒索软件有效负载会尝试多种操作以确保勒索软件成功执行,例如:
尝试使用 sc.exe 和 net.exe 停止和删除 sql 相关的服务。这样,勒索软件就可以访问并加密受害者的文件数据。
试图删除卷影,使文件加密后更难被恢复。
删除卷影副本的警报,由 Cortex XDR 和 XSIAM 引发试图使用微软的 wevtutil 命令行工具清除应用程序、安全、设置和系统事件日志,以阻止检测和取证分析工作;
使用 Windows 内置的 takeown.exe 命令修改文件权限,拒绝访问 cmd.exe 和其他关键系统进程;
防止系统管理员使用 bcdedit.exe 手动加载系统映像恢复功能;
试图使用 taskkill.exe 终止与安全相关的进程和服务,以逃避检测;
试图绕过检测反勒索软件产品,如果存在,通过删除其注册表项。下图是整个过程的一个示例。
删除检测注册表项如下图所示,勒索软件的流程树中显示了上述一些活动:
攻击的完整进程树,如 Cortex XDR 和 XSIAM 所示(仅为检测模式)这个调查的 Mallox 勒索软件示例使用 ChaCha20 加密算法对文件进行加密,并为加密的文件添加 .malox 扩展名。除了使用受害者的名字作为扩展名之外,观察到的其他文件扩展名还有:.FARGO3、.colouse、.avast、.bitenc 和 .xollam。有关 Cortex XDR 中加密文件的示例如下图所示。
Cortex XDR 检测到的 Mallox 勒索软件加密的文件示例(仅为检测模式)Mallox 在受害者驱动器的每个目录中都留下了一张勒索信,其中解释了感染情况并提供了联系信息,如下图所示。
Mallox 勒索信示例执行后,恶意软件会自行删除。
根据其一名成员的说法,Mallox 是一个相对较小且封闭的组织。然而,该组织似乎正在通过招募附属公司来扩大业务。
在这次采访几天后,一位名叫 Mallex 的用户在黑客论坛 RAMP 上发帖称,Mallox 勒索软件组织正在为一个新的 Mallox 软件即服务(RaaS)分支计划招募分支机构,如下图所示。
用户 Mallx 在 RAMP 上的帖子早在 2022 年 5 月,一位名叫 RansomR 的用户在著名的黑客论坛上发帖称,Mallox 组织正在寻找加入该组织的附属公司。
RansomR 在 null 上的帖子如果他们的计划取得成功,Mallox 组织可能会扩大其覆盖范围,以攻击更多的组织。
总结
Mallox 勒索软件组织在过去几个月里更加活跃,如果招募附属机构成功,他们最近的招募工作可能使他们能够攻击更多的组织。
组织应该时刻保持高度警惕,并准备好防御勒索软件的持续威胁。这不仅适用于 Mallox 勒索软件,也适用于其他勒索软件。
建议确保所有面向互联网的应用程序都配置正确,所有系统都打了补丁并尽可能更新。这些措施将有助于减少攻击面,从而限制攻击。
部署 XDR/EDR 解决方案来执行内存检查和检测进程注入技术。执行攻击搜索,寻找与安全产品防御逃避、服务帐户横向移动和域管理员相关的用户行为相关的异常行为的迹象。
缓解措施
Palo Alto Networks Cortex XDR 检测并阻止 Mallox 勒索软件执行的文件操作和其他活动。
阻止 Mallox 执行的终端用户通知由 Cortex XDR 和 XSIAM 引发的可疑文件修改警报(仅为检测模式)SmartScore 是一个独特的机器学习驱动的评分引擎,它将安全调查方法及其相关数据转换为混合评分系统,对涉及 Mallox 勒索软件的事件进行了 100 分的评分。这种类型的评分可以帮助分析人员确定哪些事件更紧急,并提供评估原因,帮助确定优先级。
关于 Mallox 勒索软件事件的 SmartScore 信息针对 Mallox 勒索软件的安全产品要具有以下功能,才能起到有效保护:
识别已知的恶意样本;
高级 URL 过滤和 DNS 安全将与该组织关联的域识别为恶意;
通过分析来自多个数据源(包括终端、网络防火墙、Active Directory、身份和访问管理解决方案以及云工作负载)的用户活动来检测基于用户和凭据的威胁。另外,还可以通过机器学习建立用户活动的行为概况。通过将新活动与过去的活动和预期行为进行比较,检测到攻击的异常活动。