😈 Nhóm phần mềm tống tiền TargetCompany AKA Mallox: Sự phát triển nhanh chóng - #TEKCyber by TUNGTEK

Published by TUNGTEK Tùng 🌥️,



TargetCompany ransomware victims receives a free decryptor from Avast

Nhóm phần mềm tiền TargetCompany AKA Mallox

Vào năm 2022, Avast đã phát hành một công cụ giải mã để giải mã dữ liệu được mã hóa bởi TargetCompany Ransomware, nhưng đây là một quá trình sử dụng nhiều tài nguyên.

Mục tiêu của công ty

TargetCompany chủ yếu tập trung tấn công vào cơ sở dữ liệu máy chủ dễ dàng tấn công. Nhóm này sử dụng một kỹ thuật được gọi là tải phản chiếu, bao gồm các công việc kết nối với một công cụ IP địa chỉ để tải xuống chất độc hại. Tuy nhiên, nội dung được lưu trữ tại địa chỉ IP này thường chỉ có thể truy cập được trong một khoảng thời gian ngắn, thường là khoảng 24 giờ, nỗ lực tiến hành phân tích của các nhà phân tích bảo mật nên trở thành phức tạp.

Lưu ý, vào tháng 10 năm 2022, một trường hợp lây nhiễm TargetCompany duy nhất được phát hiện có đặc biệt là lây nhiễm chuỗi chuỗi. Cách tiếp cận mới này liên quan đến việc phát triển khai %mytemp%K5ZPT7WD.exe, một trình tải độc hại sử dụng tải phản chiếu. Trình tải này được kết nối với hxxp://80[.]66[.]75[.]25/pl-Thjct_Rfxmtgam[.]bmp để tải xuống cửa hậu Remcos quan trọng.

Trọng tâm theo chuyên ngành và địa lý của TargetCompany

Nhóm ransomware TargetCompany đã có thể thực hiện tập trung đa dạng về địa lý và lĩnh vực, bao gồm:

  1. các nước châu Á, đặc biệt quan trọng đối với khu vực.
  2. Ấn Độ.
  3. Ả Rập Saudi.
  4. Nhiều quốc gia khác – Hoa Kỳ không thoát nạn như thường lệ với một số cuộc tấn công trong những tháng gần đây
Về mặt lĩnh vực, tập đoàn đã thể hiện sự quan tâm đến các tổ chức hoạt động trong các chuyên ngành sau:

  • Dịch vụ kinh doanh
  • Chăm sóc sức khỏe
  • Tài chính
  • Lớp phủ chính
  • Chế độ tạo
  • Giáo dục
  • Thông tin công nghệ
  • Bán lẻ
  • Loading
  • Tiện ích - Viễn thông.

Phần mềm độc hại, bộ công cụ & TTP của công ty tiêu điểm

Nhóm ransomware TargetCompany sử dụng nhiều loại phần mềm độc hại và công cụ trong hoạt động mạnh mẽ của mình, chúng tôi đã phát triển theo thời gian:

  • Các biến thể có thể cấm đầu : Các phiên bản trước đó của TargetCompany đã tận dụng nhiều phần mềm độc hại, bao gồm bao phần mềm tiền TargetComp, cửa hậu Remcos, phần mềm độc hại Negasteal và phần mềm độc hại Snake Keylogger.
  • Tải phản chiếu : Vào tháng 1 năm 2022, nhóm đã chuyển sang tải phản chiếu, một kỹ thuật trong đó tập lệnh PowerShell tải xuống trình tải xuống .NET để truy cập xuất tải được mã hóa từ máy chủ ra lệnh và kiểm soát ( C&C) của nhóm. Tải trọng được giải mã bằng XOR hoặc đảo ngược và được thực thi trong bộ nhớ.
  • Trốn tránh phòng thủ : TargetCompany sử dụng nhiều công cụ khác nhau để tránh sự phát hiện và cản trở các biện pháp an ninh. Đáng chú ý, nhóm này sử dụng GMER và Advanced Process Termination, cùng với sự hiện diện của YDArk.exe (PCHunter64) cho rootkit hành động. Một bó tệp có tên "killer.bat" cũng được phát triển để chấm dứt các dịch vụ và ứng dụng khác nhau.

Chiến thuật, kỹ thuật và quy trình (TTP) của các mục tiêu Công ty

Hoạt động của nhóm ransomware TargetCompany được đặc trưng bởi một tập hợp chiến thuật, kỹ thuật và quy trình (TTP) minh họa phương thức hoạt động của chúng:

  • Quyền truy cập ban đầu : TargetCompany có quyền truy cập ban đầu vào hệ thống nhân thông qua công việc khai thác các ổ gà, cụ thể là CVE-2019-1069 và CVE-2020-0618. Ngoài ra, nhóm có thể tận dụng tính năng xp_cmdshell trong Microsoft SQL Server để thực thi.
  • Thực thi : Nhóm sử dụng các lệnh PowerShell để tạo và thực thi lệnh tải xuống tệp độc hại từ C&C máy chủ.
  • Persistence : TargetCompany thiết lập tính bền vững thông tin về các khóa đăng ký, thao tác dịch vụ và thay đổi quyền truy cập tệp và thư mục.
  • Trốn tránh phòng thủ : Để trốn tránh các biện pháp bảo mật, nhóm sử dụng các kỹ thuật chống vi-rút, hành vi rootkit và chấm dứt các quy trình liên quan đến bảo mật.
  • Khám phá : Quét mạng được sử dụng để thu thập thông tin về các mạng kết nối trong xâm nhập hệ thống. Việc sử dụng Mimikatz hỗ trợ trích xuất thông tin xác thực được lưu trữ trên máy ảnh bị ảnh hưởng.
  • Chuyển động bên : Các tác nhân đe dọa của TargetCompany tận dụng công việc khai thác máy tính để bàn từ xa để chuyển bên trong mạng cúm nhân.
  • Chỉ huy và Kiểm soát : Trong suốt các vòng lặp khác nhau, TargetCompany luôn truy cập vào C&C máy chủ để tải xuống và phân phối tải ransomware quan trọng cũng như các phần tử khác.

Nguồn gốc và các nhánh của Mục tiêu Công ty

Nguồn gốc của Mục tiêu Công ty

Nhóm ransomware TargetCompany bao gồm các thành viên trước đây đã hoạt động trong các nhóm ransomware khác. Họ chia tay các cộng đồng cũ làm những chiến tranh cưỡng bức và hạn chế khả năng kiếm lợi nhuận của họ. Những thành viên này hiện là cốt lõi của nhóm TargetCompany.

Các chi nhánh và tuyển dụng của các công ty tiêu điểm

Trong khi TargetCompany duy trì một cấu trúc tương đối nhỏ, kín, có bằng chứng cho thấy tập tin đang mở rộng hoạt động. Ví dụ: một thành viên mới có tên "Mallx" được quan sát thấy đang tích cực tuyển dụng các chi nhánh cho chương trình ransomware-as-a-service (RaaS) Mallox trên diễn đàn tội phạm mạng có tên RAMP.

Hơn nữa, có những dấu hiệu cho thấy mối liên kết tiềm ẩn giữa TargetCompany và các nhóm tác nhân khác. Những điều đáng chú ý trong quá trình giám sát đã tiết lộ cuộc tấn công có điểm tương đồng với TargetCompany, bao gồm việc tải xuống tập lệnh PowerShell từ C&C máy chủ được liên kết với nhóm ransomware BlueSky. Điều này cho thấy mối liên hệ tiềm ẩn giữa các nhóm này.

Hiện diện của nhóm ransomware TargetCompany trong cộng đồng

Nhóm ransomware TargetCompany duy trì sự hiện diện trong cộng đồng tội phạm mạng rộng lớn hơn, đặc biệt thông qua các liên kết với diễn đàn RAMP. Việc tuyển dụng các chi nhánh cho chương trình Mallox RaaS nhấn mạnh sự tham gia của nhóm này vào hệ sinh thái tội phạm mạng rộng lớn hơn.

Các tác nhân đe dọa liên quan đến TargetCompany

TargetCompany thể hiện những điểm tương đồng với các tác nhân đe dọa khác, đặc biệt là những tác nhân tham gia vào các cuộc tấn công bạo lực chống lại Máy chủ Microsoft SQL (MS SQL). Đáng chú ý, nhóm ransomware BruteSQL có điểm chung với TargetCompany. Chúng bao gồm sự hiện diện của các thành viên nói tiếng Nga có tay nghề cao, các phương pháp xâm nhập tiên tiến và việc sử dụng các công cụ như Cobalt Strike và điều khiển từ xa AnyDesk thông qua regasm.exe. Sự hiện diện của tệp Anydesk.msi trong thư mục mở của TargetCompany gợi ý thêm các liên kết với các tác nhân đe dọa này.