MS-SQL(Microsoft SQL)のハニーポットに関する最近のインシデントにより、Malloxランサムウェア(Fargo、TargetCompany、Mawahelperなどとしても知られる)に依拠するサイバー攻撃者が用いる高度な戦術が明らかになりました。
Sekoiaの研究チームが設置したこのハニーポットは、総当たり(ブルートフォース)手法を用いる侵入グループに狙われ、複数のMS-SQL脆弱性を悪用してPureCrypter経由でMalloxランサムウェアを展開しました。
Malloxのサンプルを分析したところ、研究者は異なる手法を用いる2つの別個のアフィリエイトを特定しました。一方は脆弱な資産の悪用に注力し、もう一方はより大規模に情報システムを広範囲に侵害することを狙っていました。
MS-SQLサーバーへの初期アクセスは、「sa」 アカウント(SQL管理者)を標的としたブルートフォース攻撃によって行われ、展開から1時間以内に侵害されました。攻撃者は観測期間を通じてブルートフォースを継続しており、執拗な試みであることが示されています。
悪用の試行が観測され、明確に異なるパターンが特定されました。攻撃者は、特定のパラメータの有効化、アセンブリの作成、xp_cmdshellおよびOle Automation Proceduresを介したコマンド実行など、さまざまな手法を活用しました。
ペイロードは、.NETで開発されたローダーであるPureCrypterに該当し、その後Malloxランサムウェアを実行しました。PureCoderという別名で活動する脅威アクターによってMalware-as-a-Serviceとして販売されているPureCrypterは、検知と解析を回避するために多様な回避手法を用います。
PureCrypterの詳細はこちら:政府が攻撃対象に:新たなPureCrypterキャンペーンの検証
Malloxグループは、同名のランサムウェアを配布するRansomware-as-a-Serviceの運用体制で、少なくとも2021年6月以降活動しています。同グループは二重恐喝戦略を用い、データを暗号化するだけでなく、盗んだデータを公開すると脅します。
この研究では、Malloxのオペレーションにおけるアフィリエイトの役割も強調されており、特にMaestro、Vampire、Hiervosといったユーザーに焦点を当て、彼らが異なる戦術や身代金要求を示すことが述べられています。
さらに、この研究は、AS208091に関連付けられ、過去にランサムウェア活動との関連が指摘されてきたホスティング企業Xhost Internetについても疑念を提起しています。
「サイバー犯罪関連活動との正式な関連は未だ立証されていないものの、このASが過去にランサムウェア侵害の事例に関与していること、そしてIPアドレス監視が長期間にわたっている点は興味深い」と、技術レポートには記されています。「Sekoia.ioのアナリストは、このASに関連する活動の監視を継続し、関連するオペレーションの調査を進めていく予定です。」
翻訳元: https://www.infosecurity-magazine.com/news/mallox-ransomware-deployed-via-ms/
