Специалисты Trend Micro обнаружилиновую версию программы-вымогателя TargetCompany, ориентированную на VMware ESXi. Злоумышленники используют кастомный shell-скрипт для доставки и выполнения вредоносного ПО.
TargetCompany (Mallox, FARGO, Tohnichi) впервые появилась в июне 2021 года и специализируется на атаках на базы данных MySQL, Oracle и SQL Server, преимущественно в Тайване, Южной Корее, Таиланде и Индии. В феврале 2022 года Avast выпустила бесплатный декриптор для более ранних версий вымогателя.
Цепочка заражения TargetCompany
Согласно отчету Trend Micro, новый Linux-вариант TargetCompany требует административных привилегий перед началом выполнения вредоносных действий. Для загрузки и выполнения вымогательского ПО злоумышленники используют кастомный скрипт, который также способен отправлять данные на два различных сервера, вероятно, для обеспечения отказоустойчивости.
После попадания на целевую систему скрипт проверяет окружение на наличие VMware ESXi, выполняя команду “uname” и проверяя на наличие “vmkernel”. Далее создается файл TargetInfo.txt” с информацией о жертве (имя хоста, IP-адрес, данные ОС, имена вошедших пользователей и их привилегии, уникальные идентификаторы и информация о зашифрованных файлах и директориях), который отправляется на ” data-html=”true” data-original-title=”C2″ >C2-сервер.
Вредоносное ПО шифрует файлы с расширениями, связанными с виртуальными машинами (vmdk, vmem, vswp, vmx, vmsn, nvram), добавляя к ним расширение “.locked”. После этого на систему добавляется записка с инструкциями по оплате выкупа и получению ключа для дешифровки.
Записка о выкупе TargetCompany
После завершения всех задач скрипт удаляет полезную нагрузку, поэтому все следы, которые можно использовать при расследовании инцидентов, удаляются с затронутых компьютеров.
Аналитики Trend Micro связывают атаки новой Linux-версии TargetCompany с киберпреступником под именем “vampire”, упомянутым в отчетеSekoia. IP-адреса, использованные для доставки вредоносного ПО и получения файлов с информацией о жертвах, были привязаны к провайдеру из Китая, что, однако, недостаточно для точного определения происхождения атакующих.
В отчете Trend Micro содержатся рекомендации по защите, включая установку многофакторной аутентификации (MFA), создание резервных копий и обновление систем. Исследователи также предоставили список индикаторов компрометации, включая хэши для Linux-варианта вымогателя, кастомного скрипта и образцов, связанных с аффилиатом “vampire”.
Ранее специалисты Trend Micro выяснили, что хакеры Mallox используют собственное вымогательское ПО в сочетании с RAT-трояном Remcos и обфускатором BatCloak, что позволяет закрепиться в системе жертвы и избежать обнаружения.
Кроме того, в мае вирус-вымогатель Mallox использовался в атаках на серверы Microsoft SQL (MS-SQL). После проникновения в систему киберпреступники устанавливали Remcos RAT для установления полного контроля заражённого хоста.