黑客主动和你聊天的Mallox勒索病毒
"TargetCompany"是一种勒索软件,于2021年6月首次被发现。研究人员将其命名为TargetCompany勒索软件,因为它将目标公司名称作为文件扩展名添加到加密文件中。2022年9月,研究人员发现了一个针对微软SQL服务器的TargetCompany勒索软件变种,并用"Fargo"作为加密文件的扩展名。众所周知,TargetCompany勒索软件还会在加密文件后添加"Mallox"扩展名。
不过有趣的是 ,感染病毒后,勒索信还包含一个私人聊天链接,供受害者与威胁行为者连接。聊天页面包含的信息,如TargetID,硬盘大小,支付详情等。黑客还在聊天页面中为受害者提供了上传加密样本以测试解密的功能
安全研究人员最近观察到Mallox勒索软件样本的激增。下图显示了Mallox勒索软件样本传播情况的统计数据,该数据表明勒索软件在最近几周是活跃的传播迅速的并且感染了很多用户。
这些Mallox勒索软件样本由定制的加载程序下载并加载。加载程序会从远程服务器下载Mallox勒索软件,并加密受害者机器中的文件。此外,该勒索软件组织还维护了一个公布受害者泄露信息的站点,其中包含与勒索软件攻击受害者有关的信息。下图显示了Mallox勒索软件的站点信息
技术分析
加载器
这个未知的基于.net的加载器用于下载Mallox勒索软件。研究表明,该加载程序会下载其他恶意软件家族,如Agentesla, Remcos, Snake keylogger等。这个加载器通常通过不同类型的垃圾邮件来传播,以引诱用户下载并执行电子邮件附件。
加载器具有下载功能,会从远程服务器下载加密的恶意内容,在加载器内存中解密然后执行。加载程序在内存中执行恶意内容,而不将实际负载保存在磁盘中,以逃避反病毒检测。加载器下载带有文件扩展名(如png、jpeg或bmp)的加密有效载荷。
加载器是32位.net可执行文件,文件名为"Cqasdqtamip.exe"
Sha265为e3a0bbd623db2b865fc3520c8d05e8b92016af2e535f0808460295cb8435836a。其他详细信息如下图所示。
加载程序执行后,会从URL hxxp://80[.]66[.]75[.]98/Chseiyk.jpeg下载加密的恶意内容。
下图显示了硬编码的URL和下载文件的代码。
下载后加载器将加密的内容保存在内存中并解密它。恶意内容使用密钥"Cwgoawrnxz"通过AES加密算法加密,该密钥在加载程序的二进制文件中硬编码。下图显示了内存中的加密有效负载和解密密钥。
加载器现在解密负载后获得内存中的实际勒索软件二进制文件,并进一步执行该二进制文件以执行勒索软件活动。下图显示了内存中的解密勒索软件DLL文件
Mallox勒索软件有效载荷分析
下载并解密的文件是一个基于.net的32位DLL,名称为"Wwxjdcapjnmuq.dll",sha256为
b64606198c158f79287b215343d286adf959e89acb054f8f3db706f3c06f48aa。
下图显示了其他详细信息
这个DLL文件被IntelliLock混淆器进一步混淆,使恶意软件逆向分析更加困难。加载程序现在使用assembly . load()函数将解密的勒索软件DLL作为程序集加载。
加载DLL后加载器从DLL文件中枚举方法,并从加载的程序集创建方法名称和对象列表。然后创建用于执行勒索软件代码的方法的线程池。下图显示了将DLL作为程序集加载的代码和创建用于执行勒索软件代码的方法列表和线程池
在创建线程池之后,加载器使用invokember()函数创建执行线程。下图显示了创建执行线程的代码
执行后,勒索软件将批处理文件axfiysgodtrlqmrgpchkiller .bat放入临时文件夹并执行它。此批处理文件将停止许多服务和程序,以便在加密过程中不中断对相关文件的加密操作。
批处理文件内容如下图所示
有趣的是,勒索软件还会停止gps相关程序,这表明勒索软件的目标可能是关键基础设施部门的组织。下图显示了停止运行gps相关程序的命令。
勒索软件会禁用一些服务,并停止系统中正在运行的程序。一些重要的服务和计划是:•数据库相关服务:MSSQL、MSSQL服务器、PostgreSQL、Oracle等。 备份相关服务:VSS、Veeam等 Windows相关程序:OneDrive, Excel, Outlook, WinWord等 文件共享与服务器相关程序:FileZilla FTP Server、Apache Tomcat Server、Microsoft Exchange Server、OpenSSH、WAMP Server、Nginx等 企业管理软件:SAP Business One、Jenkins、Redis、SVN Server、Turbo CRM、金蝶等 虚拟化程序和服务:VirtualBox, VMware。等。 GPS相关命令:GPSDaemon, GPSUserSvr, GPSDownSvr, GPSStorageSvr, GPSDataProcSvr, GPSGatewaySvr等
在加密文件之前,勒索软件会窃取系统信息,如操作系统版本、桌面名称等,并通过如下所示的POST请求将其发送到命令与控制(C&C)服务器。
勒索软件对加密文件附加".Mallox"作为文件扩展名,并在文件夹中放置一个勒索通知,如下所示。
下图显示了在受害者系统上投放的赎金通知
勒索信还包含一个私人聊天链接,供受害者与威胁行为者连接。聊天页面包含的信息,如TargetID,硬盘大小,支付详情等。
总结
在过去的几天里,我们观察到Mallox勒索软件组织的活动迹象有所增加。勒索软件组正在使用一个新的定制的加载程序,用于下载和执行勒索软件。此外,Mallox勒索软件执行后会试图停止与gps相关的服务,表明他们的目标可能是经营运营技术和关键基础设施的组织。
IOCs
Indicators
Indicato r Type
Descriptio n
2456c01f5348e5c08f7e818d51862c1a 625be3e4dbfb0bd35c9cda216a9bca7232dbec07 34da973f1d154672b245f7a13e6268b4ffc88dea1ca608206b 32759ec5be040c
MD5 SHA1 SHA256 Mallox
Loader
b739be28cb9a30868112d4786bc11d37 296e19773f6fb7190d914ac556abe0125e5d7aa5 b3ccec8ca26bc3b6597ddb0424a455eb7809e7608f5d62f6c7 f5d757d4d32253
MD5 SHA1 SHA256
Chseiyk.jp eg Encrypted Payload
86344d7e6e5b371717313032632cbbe1 3921694be80b2fd5d8007c8155bee018c32fecbb b64606198c158f79287b215343d286adf959e89acb054f8f3d b706f3c06f48aa
MD5 SHA1 SHA256 Mallox
Payload
688e0b37794395cfecaf9cc519e3c26a, d215d4166dfa07be393459c99067319036eb80ba, 77fdce66e7f909300e4493cbe7055254f7992ba65f9b7445a6 755d0dbd9f80a5
MD5 SHA1 SHA256Mallox
Loader
6080b540d975b7a4f66cd54ee83ed600 62324b38a5a5a2533f3bd401d7afd1c6c4235b08 89c9c14af6ab4f3f93705325dbc32bde6c232d26d22e8f835d b24efc18007ea4
MD5 SHA1 SHA256 Mallox
Loader
2ffae162e07ba8debdf25694e8fd8325 a1289c3e585e091a7c8f89869a76e40f7e3880fd d691f44b587c6ed47c2d57b2bf99323877821a318cb0d5aa98 99c40a44e81ef3
MD5 SHA1 SHA256Mallox
Loader
cacbed12b83529ebb99b0297d52b0749 db6d67f55bce0425baef2348e70f1478d022820e 58726aac2652bedfe47b7e1c73ba39d028e2e6ad188f4ed73 5d614097be4a23b
MD5 SHA1 SHA256 Mallox
Loader
da3f02b82e982f5ce5a71d769a067f3b e165cac5ab2b2312f7ed8569c69a75bae48b8316 7164ba41639c8edcd9ff1cf41a806c9a23de566b56a7f34a02 05ba1f84575a48
MD5 SHA1 SHA256Mallox
Loader
38454291f7b871d71a512b5dd5100d9e 9e9c04f00822aacaa15d0bcc4749f8e6920d4550 45391bfbb06263f421ac739e1e4b438fb99a0757dcecc68de7 9b2dbe02c1641e
MD5 SHA1 SHA256 Mallox
Loader
7be2a76577f6ee05ec08c77c41cd9dd4 f3cfca7a2160559aa62b4cf42cd15870a4abcae7 87a923319c6ea74a9cef5ed7528afdbd4a05e7600ce7f4359e 5990ff8769a2ff
MD5 SHA1 SHA256Mallox
Loader
6e542eda455e8c8600df96874c8deceb 670530d36967c5927955d31052dff165a187c1f2 d755cd96077cebbed84a86e69d1fd84b95e3e5763abc8ac8e c0a7f1df30e9585
MD5 SHA1 SHA256 Mallox
Loader
hxxp://80[.]66[.]75[.]98/Chseiyk.jpeg
URLMalicious
URL
hxxp://193[.]106[.]191[.]141/QWEwqdsvsf/ap.php
URL
Connected URL
新国标红绿灯,你看懂了吗?红灯停绿灯行,黄灯等一等,这耳熟能详的交通口诀是最原始的红绿灯走停标准。但近期国家正式出台的新国标红绿灯标准,让众多司机无力吐槽,这是为什么呢。今天,咱就一块来看看这2022新国标
朱一龙的废话文学汇总(文字版)说话滴水不漏,才不是社恐如果今天不说Hello,大家好,我是朱一龙会怎样打招呼?朱一龙我是朱一龙,大家好,hello。用可以但没必要造句。朱一龙可以造句,但没必要。朱一龙那我就聊聊后面的工作安排吧。朱一龙
得了痔疮,该不该做手术切除?看了你就知道痔疮是非常常见的肛门疾病,包括内痔和外痔。内痔的主要症状是便血和脱肛。外痔的主要症状是肛门潮湿瘙痒以及肛门疼痛和不适。大约40的痔没有症状。最常见的症状就是出血肛周瘙痒疼痛和脱垂,
李二狗中奖后的生活2李二狗回厂里吃晚饭,罕见地发现今天秀兰身边没人围着了,刚想端着饭碗走过去,就被舍友阿东拉住了。你不想干了,秀兰跟主管好上了。李二狗再回头看向秀兰时,就看到主管满面春风地走到秀兰身边
哈弗H6DHT17。68万近日,2022款哈弗H6DHTPHEV正式上市。新车采用了更加犀利的外观设计,内饰简约大方。动力搭载1。5T发动机加前置单电机,最高纯电续航110公里。新车售价区间16。88万17
星辰变太意外!仙魔妖界最强的五爪金龙,在神界连宠物都算不上前言星辰变最大的亮点当属神兽体系了,神兽是区别妖兽的存在,他们的天赋血脉身体素质都远超妖兽,是同级别中最强大的存在。神兽分为四种,分别是下级神兽中级神兽上级神兽超级神兽。其中上级神
美日台备战台海,一万枚远程导弹瞄准大陆,中方需增加到几万枚随着时间的推移和节点的临近,不仅中国大陆,美日台等台海周边各方,围绕台海战争的备战,已经开启。远程打击武器(能力),是一个中小国家地区慑止其他大国强国军事打击的重要手段。伊拉克南斯
盘点那些年出现的真千金小姐如今这个网红当道,流量至上的时代,满是气球的公主房纯白蕾丝的公主裙一头乌黑顺溜的长发,在一张张精修照片的白幼瘦审美霸屏情况下,似乎大部分人都认为这就是名媛公主的代表,然而事实上,真
7月A级车自主进击黑马威朗藏隐忧来源中国经济网姜智文7月,自主品牌在A级车市场发起攻势。其中,秦PLUS首次迈入3万辆大关,并稳居季军之位长安UNIV经过近半年的持续攀升,以黑马之姿首次挺进榜单吉利汽车旗下帝豪L
空腹血糖正常,但餐后血糖高,是怎么回事?糖友疑问老张我糖尿病病史7年了,听医生的话服用二甲双胍控制血糖,空腹血糖6点几,餐后血糖经常10以上,这是什么原因呢?显然,老张的空腹血糖控制尚可,但餐后血糖偏高了。根据我国2型糖
王保保朱元璋得不到的天下奇男子,挖出墓碑,才知他被冤600年文古今闲客编辑古今闲客天下奇男子,惟有王保保。平生惜此人,豪杰尽推倒。谁能厉忠义,抗节誓不挠。万人苟一心,群孽岂难扫。丈夫纵失败,善死固有道。首鼠深可憎,窟兔讵为狡?王保保,一个让