Notícias de dispositivos móveis, gadgets, aplicativos Android

TargetCompany Ransomware implanta malware totalmente indetect√°vel no SQL Server

O ransomware TargetCompany (tamb√©m conhecido como Mallox, Fargo e Tohnichi) tem como alvo ativo as organiza√ß√Ķes que usam ou executam servidores SQL vulner√°veis.

Al√©m disso, recentemente, o ransomware TargetCompany revelou uma nova variante de malware junto com v√°rias ferramentas maliciosas para persist√™ncia e opera√ß√Ķes secretas que est√£o ganhando for√ßa rapidamente.

Pesquisadores de seguran√ßa cibern√©tica da Trend Micro descobriram uma campanha ativa recente ligando o ransomware Remcos RAT e TargetCompany e, em compara√ß√£o com amostras anteriores, as novas implanta√ß√Ķes usam compactadores totalmente indetect√°veis.

Os dados de telemetria e as fontes externas de caça forneceram as primeiras amostras durante o desenvolvimento. Enquanto isso, os pesquisadores identificaram uma vítima submetida a esta técnica direcionada.

Ransomware Cadeia de infecção

Semelhante aos casos anteriores, o ransomware TargetCompany mais recente explora servidores SQL fracos para implantação em estágio inicial, visando persistência por meio de diversos métodos, incluindo alteração de URLs ou caminhos até que a execução do Remcos RAT seja bem-sucedida.

Depois que as tentativas iniciais foram interrompidas, os atores da amea√ßa recorreram a bin√°rios cheios de FUD. O empacotador FUD do ransomware Remcos e TargetCompany reflete o estilo do BatCloak: ‚Äď

Camada externa do arquivo em lote, seguida pelo PowerShell para decodificação e execução de LOLBins.

Notavelmente, esta variante incorpora o Metasploit (Meterpreter), o que √© uma jogada surpreendente para este grupo. Seu uso √© bastante interessante, servindo a prop√≥sitos como: –

  • Consultar/Adicionar uma conta local
  • Implantar GMER
  • Implantar desbloqueador IObit
  • Implantar PowerTool (ou PowTool)

Mais tarde, o Remcos RAT prossegue para sua √ļltima fase, baixando e ativando o ransomware TargetCompany com a embalagem FUD intacta.

Documento

Embalagem FUD

Uma onda anterior explorando o OneNote chamou a aten√ß√£o por sua nova t√©cnica envolvendo PowLoad e CMDFile com carga √ļtil real. O carregador ‘cmd x PowerShell ganhou popularidade e acabou sendo adotado pelos operadores de ransomware TargetCompany em fevereiro de 2022.

Os CMDFiles pareciam inicialmente semelhantes, usados ‚Äč‚Äčpor fam√≠lias de malware como: ‚Äď

  • AsyncRAT
  • Remcos
  • Ransomware TargetCompany
N√≥s recomendamos:  Como jogar Resident Evil 2 Refazer em VR? [Free PC Mod]

Aqui as diferen√ßas surgem durante a execu√ß√£o, j√° que o AsyncRAT usa descompacta√ß√£o e descriptografia. Enquanto os carregadores Remcos e TargetCompany apenas descompactam as cargas √ļteis.

O exame dos links de rede relacionados ao PowerShell revela uma nova variante de ransomware TargetCompany, vinculada √† segunda vers√£o com conex√£o C&C ‚Äė/ap.php‚Äô.

Com o uso do FUD, os agentes de amea√ßas de malware podem prevenir ou escapar das solu√ß√Ķes de seguran√ßa para esta nova t√©cnica, especialmente a tecnologia pronta para uso, propensa a amea√ßas mais amplas.

No entanto, especulou-se que mais empacotadores poderiam surgir. Portanto, a detecção precoce auxilia na prevenção de empacotadores FUD devido ao seu fluxo de codificação incomum.

Recomenda√ß√Ķes

Aqui abaixo mencionamos todas as recomenda√ß√Ķes: –

  • Ative a prote√ß√£o de firewall.
  • Garanta a limita√ß√£o do acesso.
  • Certifique-se de alterar a porta padr√£o.
  • Gerenciamento seguro de contas.
  • Sempre use senhas fortes.
  • Implemente pol√≠ticas de bloqueio de conta.
  • Revise e desative frequentemente os assemblies SQL CLR indesejados.
  • Sempre criptografe os dados em tr√Ęnsito.
  • Certifique-se de monitorar a atividade do servidor SQL.
  • Sempre mantenha o sistema e o software instalado atualizados com as atualiza√ß√Ķes e patches mais recentes.

IoCs

Table of Contents