Новости TargetCompany 2.0: зомби-вымогатель нацеливается на VMware ESXi

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Новая версия TargetCompany с новыми возможностями бесследной атаки.


hrf6ovegh6qcj6dm8d4o4nwc3sjymh3m.jpg


Специалисты Trend Micro Для просмотра ссылки Войди или Зарегистрируйся новую версию программы-вымогателя TargetCompany, ориентированную на VMware ESXi. Злоумышленники используют кастомный shell-скрипт для доставки и выполнения вредоносного ПО.

TargetCompany (Mallox, FARGO, Tohnichi) впервые появилась в июне 2021 года и специализируется на атаках на Для просмотра ссылки Войди или Зарегистрируйся MySQL, Oracle и SQL Server, преимущественно в Тайване, Южной Корее, Таиланде и Индии. В феврале 2022 года Avast Для просмотра ссылки Войди или Зарегистрируйся для более ранних версий вымогателя.


8gptdj2fvj72jttp78dj3qwfp5vc325i.png


Цепочка заражения TargetCompany

Согласно отчету Trend Micro, новый Linux -вариант TargetCompany требует административных привилегий перед началом выполнения вредоносных действий. Для загрузки и выполнения вымогательского ПО злоумышленники используют кастомный скрипт, который также способен отправлять данные на два различных сервера, вероятно, для обеспечения отказоустойчивости.

После попадания на целевую систему скрипт проверяет окружение на наличие VMware ESXi, выполняя команду «uname» и проверяя на наличие «vmkernel». Далее создается файл TargetInfo.txt” с информацией о жертве (имя хоста, IP-адрес, данные ОС, имена вошедших пользователей и их привилегии, уникальные идентификаторы и информация о зашифрованных файлах и директориях), который отправляется на C2 -сервер.

Вредоносное ПО шифрует файлы с расширениями, связанными с виртуальными машинами (vmdk, vmem, vswp, vmx, vmsn, nvram), добавляя к ним расширение «.locked». После этого на систему добавляется записка с инструкциями по оплате выкупа и получению ключа для дешифровки.


jhjni2y3r4pybufo5zcu3mlmnbyp2g3a.png


Записка о выкупе TargetCompany

После завершения всех задач скрипт удаляет полезную нагрузку, поэтому все следы, которые можно использовать при расследовании инцидентов, удаляются с затронутых компьютеров.

Аналитики Trend Micro связывают атаки новой Linux-версии TargetCompany с киберпреступником под именем «vampire», упомянутым в Для просмотра ссылки Войди или Зарегистрируйся Sekoia. IP-адреса, использованные для доставки вредоносного ПО и получения файлов с информацией о жертвах, были привязаны к провайдеру из Китая, что, однако, недостаточно для точного определения происхождения атакующих.

В отчете Trend Micro содержатся рекомендации по защите, включая установку многофакторной аутентификации (MFA), создание резервных копий и обновление систем. Исследователи также предоставили список индикаторов компрометации, включая хэши для Linux-варианта вымогателя, кастомного скрипта и образцов, связанных с аффилиатом «vampire».

Ранее специалисты Trend Micro выяснили, что хакеры Mallox Для просмотра ссылки Войди или Зарегистрируйся в сочетании с RAT-трояном Remcos и обфускатором BatCloak, что позволяет закрепиться в системе жертвы и избежать обнаружения.

Кроме того, в мае Для просмотра ссылки Войди или Зарегистрируйся на серверы Microsoft SQL (MS-SQL). После проникновения в систему киберпреступники устанавливали Remcos RAT для установления полного контроля заражённого хоста.
 
Источник новости
www.securitylab.ru

Похожие темы