03/05/24
Эксперты в области кибербезопасности из лаборатории ASEC выявили серию продвинутых кибератак, направленных на серверы Microsoft SQL (MS-SQL). Группа злоумышленников, известная как TargetCompany, использует вирус-вымогатель Mallox для шифрования систем и вымогательства у жертв.
Атаки группировки напоминают предыдущие инциденты с использованием майнера Tor2Mine и вируса BlueSky, что свидетельствует о неутихающей угрозе для цифровой безопасности, пишут в Securitylab. Методы действий TargetCompany заключаются в эксплуатации уязвимостей на ненадлежаще управляемых серверах MS-SQL, где злоумышленники получают несанкционированный доступ, используя атаки по словарю и атаки методом перебора, нацеливаясь в первую очередь на аккаунт системного администратора.
После проникновения в систему, злоумышленники устанавливают инструмент удалённого доступа Remcos RAT, что позволяет им полностью контролировать заражённый хост. Следует отметить, что Remcos RAT, инструмент, изначально предназначенный для легитимного удалённого управления, давно был адаптирован для злонамеренных действий. В атаках использовалась упрощённая версия Remcos, что указывает на стремление злоумышленников к более гладкому удалённому управлению без привлечения внимания.
После первоначального заражения злоумышленники также развёртывают свою собственную вредоносную программу для удалённого управления, а затем — вирус-вымогатель Mallox. Этот вирус, нацеленный на серверы MS-SQL, использует алгоритмы шифрования AES-256 и SHA-256, добавляя к зашифрованным файлам расширение «.rmallox». Mallox избегает шифрования определённых путей и расширений файлов, сосредоточиваясь только потенциально ценных данных.
Паттерны атак, наблюдаемые в этой кампании, поразительно напоминают предыдущие инциденты TargetCompany, что и позволило экспертам ASEC отнести данные вредоносные действия к участникам этой группы.
