O ransomware TargetCompany (também conhecido como Mallox, Fargo e Tohnichi) tem como alvo ativo as organizações que usam ou executam servidores SQL vulneráveis.
Além disso, recentemente, o ransomware TargetCompany revelou uma nova variante de malware junto com várias ferramentas maliciosas para persistência e operações secretas que estão ganhando força rapidamente.
Pesquisadores de segurança cibernética da Trend Micro descobriram uma campanha ativa recente ligando o ransomware Remcos RAT e TargetCompany e, em comparação com amostras anteriores, as novas implantações usam compactadores totalmente indetectáveis.
Os dados de telemetria e as fontes externas de caça forneceram as primeiras amostras durante o desenvolvimento. Enquanto isso, os pesquisadores identificaram uma vítima submetida a esta técnica direcionada.
Ransomware Cadeia de infecção
Semelhante aos casos anteriores, o ransomware TargetCompany mais recente explora servidores SQL fracos para implantação em estágio inicial, visando persistência por meio de diversos métodos, incluindo alteração de URLs ou caminhos até que a execução do Remcos RAT seja bem-sucedida.
Depois que as tentativas iniciais foram interrompidas, os atores da ameaça recorreram a binários cheios de FUD. O empacotador FUD do ransomware Remcos e TargetCompany reflete o estilo do BatCloak: –
Camada externa do arquivo em lote, seguida pelo PowerShell para decodificação e execução de LOLBins.
Notavelmente, esta variante incorpora o Metasploit (Meterpreter), o que é uma jogada surpreendente para este grupo. Seu uso é bastante interessante, servindo a propósitos como: –
- Consultar/Adicionar uma conta local
- Implantar GMER
- Implantar desbloqueador IObit
- Implantar PowerTool (ou PowTool)
Mais tarde, o Remcos RAT prossegue para sua última fase, baixando e ativando o ransomware TargetCompany com a embalagem FUD intacta.
Documento
Embalagem FUD
Uma onda anterior explorando o OneNote chamou a atenção por sua nova técnica envolvendo PowLoad e CMDFile com carga útil real. O carregador ‘cmd x PowerShell ganhou popularidade e acabou sendo adotado pelos operadores de ransomware TargetCompany em fevereiro de 2022.
Os CMDFiles pareciam inicialmente semelhantes, usados por famílias de malware como: –
- AsyncRAT
- Remcos
- Ransomware TargetCompany
Aqui as diferenças surgem durante a execução, já que o AsyncRAT usa descompactação e descriptografia. Enquanto os carregadores Remcos e TargetCompany apenas descompactam as cargas úteis.
O exame dos links de rede relacionados ao PowerShell revela uma nova variante de ransomware TargetCompany, vinculada à segunda versão com conexão C&C ‘/ap.php’.
Com o uso do FUD, os agentes de ameaças de malware podem prevenir ou escapar das soluções de segurança para esta nova técnica, especialmente a tecnologia pronta para uso, propensa a ameaças mais amplas.
No entanto, especulou-se que mais empacotadores poderiam surgir. Portanto, a detecção precoce auxilia na prevenção de empacotadores FUD devido ao seu fluxo de codificação incomum.
Recomendações
Aqui abaixo mencionamos todas as recomendações: –
- Ative a proteção de firewall.
- Garanta a limitação do acesso.
- Certifique-se de alterar a porta padrão.
- Gerenciamento seguro de contas.
- Sempre use senhas fortes.
- Implemente políticas de bloqueio de conta.
- Revise e desative frequentemente os assemblies SQL CLR indesejados.
- Sempre criptografe os dados em trânsito.
- Certifique-se de monitorar a atividade do servidor SQL.
- Sempre mantenha o sistema e o software instalado atualizados com as atualizações e patches mais recentes.
