Новая версия TargetCompany с новыми возможностями бесследной атаки.
Специалисты Trend Micro Для просмотра ссылки Войдиили Зарегистрируйся новую версию программы-вымогателя TargetCompany, ориентированную на VMware ESXi. Злоумышленники используют кастомный shell-скрипт для доставки и выполнения вредоносного ПО.
TargetCompany (Mallox, FARGO, Tohnichi) впервые появилась в июне 2021 года и специализируется на атаках на Для просмотра ссылки Войдиили Зарегистрируйся MySQL, Oracle и SQL Server, преимущественно в Тайване, Южной Корее, Таиланде и Индии. В феврале 2022 года Avast Для просмотра ссылки Войди или Зарегистрируйся для более ранних версий вымогателя.
Цепочка заражения TargetCompany
Согласно отчету Trend Micro, новый Linux -вариант TargetCompany требует административных привилегий перед началом выполнения вредоносных действий. Для загрузки и выполнения вымогательского ПО злоумышленники используют кастомный скрипт, который также способен отправлять данные на два различных сервера, вероятно, для обеспечения отказоустойчивости.
После попадания на целевую систему скрипт проверяет окружение на наличие VMware ESXi, выполняя команду «uname» и проверяя на наличие «vmkernel». Далее создается файл TargetInfo.txt” с информацией о жертве (имя хоста, IP-адрес, данные ОС, имена вошедших пользователей и их привилегии, уникальные идентификаторы и информация о зашифрованных файлах и директориях), который отправляется на C2 -сервер.
Вредоносное ПО шифрует файлы с расширениями, связанными с виртуальными машинами (vmdk, vmem, vswp, vmx, vmsn, nvram), добавляя к ним расширение «.locked». После этого на систему добавляется записка с инструкциями по оплате выкупа и получению ключа для дешифровки.
Записка о выкупе TargetCompany
После завершения всех задач скрипт удаляет полезную нагрузку, поэтому все следы, которые можно использовать при расследовании инцидентов, удаляются с затронутых компьютеров.
Аналитики Trend Micro связывают атаки новой Linux-версии TargetCompany с киберпреступником под именем «vampire», упомянутым в Для просмотра ссылки Войдиили Зарегистрируйся Sekoia. IP-адреса, использованные для доставки вредоносного ПО и получения файлов с информацией о жертвах, были привязаны к провайдеру из Китая, что, однако, недостаточно для точного определения происхождения атакующих.
В отчете Trend Micro содержатся рекомендации по защите, включая установку многофакторной аутентификации (MFA), создание резервных копий и обновление систем. Исследователи также предоставили список индикаторов компрометации, включая хэши для Linux-варианта вымогателя, кастомного скрипта и образцов, связанных с аффилиатом «vampire».
Ранее специалисты Trend Micro выяснили, что хакеры Mallox Для просмотра ссылки Войдиили Зарегистрируйся в сочетании с RAT-трояном Remcos и обфускатором BatCloak, что позволяет закрепиться в системе жертвы и избежать обнаружения.
Кроме того, в мае Для просмотра ссылки Войдиили Зарегистрируйся на серверы Microsoft SQL (MS-SQL). После проникновения в систему киберпреступники устанавливали Remcos RAT для установления полного контроля заражённого хоста.
Специалисты Trend Micro Для просмотра ссылки Войди
TargetCompany (Mallox, FARGO, Tohnichi) впервые появилась в июне 2021 года и специализируется на атаках на Для просмотра ссылки Войди
Цепочка заражения TargetCompany
Согласно отчету Trend Micro, новый Linux -вариант TargetCompany требует административных привилегий перед началом выполнения вредоносных действий. Для загрузки и выполнения вымогательского ПО злоумышленники используют кастомный скрипт, который также способен отправлять данные на два различных сервера, вероятно, для обеспечения отказоустойчивости.
После попадания на целевую систему скрипт проверяет окружение на наличие VMware ESXi, выполняя команду «uname» и проверяя на наличие «vmkernel». Далее создается файл TargetInfo.txt” с информацией о жертве (имя хоста, IP-адрес, данные ОС, имена вошедших пользователей и их привилегии, уникальные идентификаторы и информация о зашифрованных файлах и директориях), который отправляется на C2 -сервер.
Вредоносное ПО шифрует файлы с расширениями, связанными с виртуальными машинами (vmdk, vmem, vswp, vmx, vmsn, nvram), добавляя к ним расширение «.locked». После этого на систему добавляется записка с инструкциями по оплате выкупа и получению ключа для дешифровки.
Записка о выкупе TargetCompany
После завершения всех задач скрипт удаляет полезную нагрузку, поэтому все следы, которые можно использовать при расследовании инцидентов, удаляются с затронутых компьютеров.
Аналитики Trend Micro связывают атаки новой Linux-версии TargetCompany с киберпреступником под именем «vampire», упомянутым в Для просмотра ссылки Войди
В отчете Trend Micro содержатся рекомендации по защите, включая установку многофакторной аутентификации (MFA), создание резервных копий и обновление систем. Исследователи также предоставили список индикаторов компрометации, включая хэши для Linux-варианта вымогателя, кастомного скрипта и образцов, связанных с аффилиатом «vampire».
Ранее специалисты Trend Micro выяснили, что хакеры Mallox Для просмотра ссылки Войди
Кроме того, в мае Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru