Mallox(又名TargetCompany、FARGO和Tohnichi)是一種針對Windows系統(tǒng)的勒索軟件。自2021年6月出現(xiàn)以來就一直很活躍，并以利用不安全的MS-SQL服務(wù)器作為攻擊手段來攻擊受害者的網(wǎng)絡(luò)而聞名。

最近，Unit 42的研究人員觀察到與去年相比，利用MS-SQL服務(wù)器傳播勒索軟件的Mallox勒索軟件活動增加了近174%。研究人員觀察到，Mallox勒索軟件使用暴力破解、數(shù)據(jù)泄露和網(wǎng)絡(luò)掃描儀等工具。此外，有跡象表明，該組織正在擴(kuò)大其業(yè)務(wù)，并在黑客論壇上招募成員。

Mallox勒索軟件概述

與許多其他勒索軟件一樣，Mallox勒索軟件使用了雙重勒索方法：在加密組織文件之前竊取數(shù)據(jù)，然后威脅將竊取的數(shù)據(jù)發(fā)布在泄露網(wǎng)站上，增加勒索籌碼。

下圖顯示了Tor瀏覽器上的Mallox勒索軟件網(wǎng)站。盡管這些組織的名稱和標(biāo)識已經(jīng)被涂黑，但這就是該組織展示其目標(biāo)泄露數(shù)據(jù)的方式。

Tor瀏覽器上的Mallox網(wǎng)站

每個(gè)受害者都有一把私鑰，可以與該組織互動并協(xié)商條款和付款。下圖展示了用于交流的工具。

Tor瀏覽器上的Mallox私人聊天

Mallox勒索軟件幕后組織聲稱有數(shù)百名受害者被攻擊。雖然受害者的實(shí)際人數(shù)尚不清楚，但分析顯示，全球有潛在受害者已經(jīng)很多，涉及多個(gè)行業(yè)，包括制造業(yè)、法律服務(wù)、批發(fā)和零售業(yè)。

自2023年初以來，Mallox的活動一直在不斷增加。根據(jù)研究人員追蹤分析和從公開威脅情報(bào)來源收集的數(shù)據(jù)，與2022年下半年相比，2023年Mallox攻擊增加了約174%。

從2022年下半年到2023年上半年的Mallox攻擊嘗試

初始訪問

自2021年出現(xiàn)以來，Mallox組織一直采用相同的方法獲得初始訪問權(quán)限，該組織以不安全的MS-SQL服務(wù)器為目標(biāo)滲透到網(wǎng)絡(luò)中。這些攻擊從字典暴力攻擊開始，嘗試針對MS-SQL服務(wù)器的已知或常用密碼列表。在獲得訪問權(quán)限后，攻擊者使用命令行和PowerShell從遠(yuǎn)程服務(wù)器下載Mallox勒索軟件負(fù)載。

響應(yīng)由Cortex XDR和XSIAM引發(fā)的Mallox勒索軟件字典暴力攻擊而引發(fā)的警報(bào)示例

Mallox勒索軟件感染的命令行示例：

該命令行執(zhí)行以下操作：

從hxxp://80.66.75[.]36/aRX.exe下載勒索軟件有效負(fù)載，并保存為tzt.exe;

運(yùn)行名為updt.ps1的PowerShell腳本;

接下來，有效負(fù)載繼續(xù)執(zhí)行以下操作(未在上面顯示的命令行腳本中顯示)：

下載另一個(gè)名為system.bat的文件，并將其保存為tzt.bat;

“tzt.bat”文件用于創(chuàng)建名為“SystemHelp”的用戶，并啟用RDP協(xié)議;

使用Windows管理工具(WMI)執(zhí)行勒索軟件有效負(fù)載tzt.exe;

下圖顯示了Cortex XDR和XSIAM如何檢測SQL服務(wù)器利用的第一階段。

SQL服務(wù)器利用過程(僅限于測試目)

勒索軟件執(zhí)行

在進(jìn)行任何加密之前，勒索軟件有效負(fù)載會嘗試多種操作以確保勒索軟件成功執(zhí)行，例如：

嘗試使用sc.exe和net.exe停止和刪除sql相關(guān)的服務(wù)。這樣，勒索軟件就可以訪問并加密受害者的文件數(shù)據(jù)。

試圖刪除卷影，使文件加密后更難被恢復(fù)。

刪除卷影副本的警報(bào)，由Cortex XDR和XSIAM引發(fā)

試圖使用微軟的wevtutil命令行工具清除應(yīng)用程序、安全、設(shè)置和系統(tǒng)事件日志，以阻止檢測和取證分析工作;

使用Windows內(nèi)置的takeown.exe命令修改文件權(quán)限，拒絕訪問cmd.exe和其他關(guān)鍵系統(tǒng)進(jìn)程;

防止系統(tǒng)管理員使用bcdedit.exe手動加載系統(tǒng)映像恢復(fù)功能;

試圖使用taskkill.exe終止與安全相關(guān)的進(jìn)程和服務(wù)，以逃避檢測;

試圖繞過檢測反勒索軟件產(chǎn)品，如果存在，通過刪除其注冊表項(xiàng)。下圖是整個(gè)過程的一個(gè)示例。

刪除檢測注冊表項(xiàng)

如下圖所示，勒索軟件的流程樹中顯示了上述一些活動：

攻擊的完整進(jìn)程樹，如Cortex XDR和XSIAM所示(僅為檢測模式)

這個(gè)調(diào)查的Mallox勒索軟件示例使用ChaCha20加密算法對文件進(jìn)行加密，并為加密的文件添加.malox擴(kuò)展名。除了使用受害者的名字作為擴(kuò)展名之外，觀察到的其他文件擴(kuò)展名還有：.FARGO3、.colouse、.avast、.bitenc和.xollam。有關(guān)Cortex XDR中加密文件的示例如下圖所示。

Cortex XDR檢測到的Mallox勒索軟件加密的文件示例(僅為檢測模式)

Mallox在受害者驅(qū)動器的每個(gè)目錄中都留下了一張勒索信，其中解釋了感染情況并提供了聯(lián)系信息，如下圖所示。

Mallox勒索信示例

執(zhí)行后，惡意軟件會自行刪除。

根據(jù)其一名成員的說法，Mallox是一個(gè)相對較小且封閉的組織。然而，該組織似乎正在通過招募附屬公司來擴(kuò)大業(yè)務(wù)。

在這次采訪幾天后，一位名叫Mallex的用戶在黑客論壇RAMP上發(fā)帖稱，Mallox勒索軟件組織正在為一個(gè)新的Mallox軟件即服務(wù)(RaaS)分支計(jì)劃招募分支機(jī)構(gòu)，如下圖所示。

用戶Mallx在RAMP上的帖子

早在2022年5月，一位名叫RansomR的用戶在著名的黑客論壇上發(fā)帖稱，Mallox組織正在尋找加入該組織的附屬公司。

RansomR在null上的帖子

如果他們的計(jì)劃取得成功，Mallox組織可能會擴(kuò)大其覆蓋范圍，以攻擊更多的組織。

總結(jié)

Mallox勒索軟件組織在過去幾個(gè)月里更加活躍，如果招募附屬機(jī)構(gòu)成功，他們最近的招募工作可能使他們能夠攻擊更多的組織。

組織應(yīng)該時(shí)刻保持高度警惕，并準(zhǔn)備好防御勒索軟件的持續(xù)威脅。這不僅適用于Mallox勒索軟件，也適用于其他勒索軟件。

建議確保所有面向互聯(lián)網(wǎng)的應(yīng)用程序都配置正確，所有系統(tǒng)都打了補(bǔ)丁并盡可能更新。這些措施將有助于減少攻擊面，從而限制攻擊。

部署XDR/EDR解決方案來執(zhí)行內(nèi)存檢查和檢測進(jìn)程注入技術(shù)。執(zhí)行攻擊搜索，尋找與安全產(chǎn)品防御逃避、服務(wù)帳戶橫向移動和域管理員相關(guān)的用戶行為相關(guān)的異常行為的跡象。

緩解措施

Palo Alto Networks Cortex XDR檢測并阻止Mallox勒索軟件執(zhí)行的文件操作和其他活動。

阻止Mallox執(zhí)行的終端用戶通知

由Cortex XDR和XSIAM引發(fā)的可疑文件修改警報(bào)(僅為檢測模式)

SmartScore是一個(gè)獨(dú)特的機(jī)器學(xué)習(xí)驅(qū)動的評分引擎，它將安全調(diào)查方法及其相關(guān)數(shù)據(jù)轉(zhuǎn)換為混合評分系統(tǒng)，對涉及Mallox勒索軟件的事件進(jìn)行了100分的評分。這種類型的評分可以幫助分析人員確定哪些事件更緊急，并提供評估原因，幫助確定優(yōu)先級。

關(guān)于Mallox勒索軟件事件的SmartScore信息

針對Mallox勒索軟件的安全產(chǎn)品要具有以下功能，才能起到有效保護(hù)：

識別已知的惡意樣本;

高級URL過濾和DNS安全將與該組織關(guān)聯(lián)的域識別為惡意;

通過分析來自多個(gè)數(shù)據(jù)源(包括終端、網(wǎng)絡(luò)防火墻、Active Directory、身份和訪問管理解決方案以及云工作負(fù)載)的用戶活動來檢測基于用戶和憑據(jù)的威脅。另外，還可以通過機(jī)器學(xué)習(xí)建立用戶活動的行為概況。通過將新活動與過去的活動和預(yù)期行為進(jìn)行比較，檢測到攻擊的異常活動。