360安全专家提醒:Mallox勒索病毒来袭,应尽快部署终端安全产品加强防护

近日,360安全大脑监测发现多起Mallox勒索病毒攻击事件。该病毒主要针对企业的Web应用发起攻击,包括Spring Boot、Weblogic、通达OA等,在拿下目标设备权限后还会尝试在内网中横向移动,获取更多设备的权限,危害性极大。360提醒用户加强防护,并建议使用360终端安全产品提供的安全补丁,防御查杀该病毒。

360安全大脑监测历史显示,Mallox(又被称作Target Company)于2021年10月进入中国,早期主要通过SQLGlobeImposter渠道进行传播(通过获取到数据库口令后,远程下发勒索病毒。该渠道曾长期被GlobeImposter勒索病毒使用)。而今年GlobeImposter勒索病毒的传播量逐渐下降,Mallox就逐渐占据了这一渠道。

除了传播渠道之外,360通过分析近期攻击案例发现,攻击者会向Web应用中植入大量的WebShell,而这些文件的文件名中会包含“kk”的特征字符。一旦成功入侵目标设备,攻击者会尝试释放PowerCat、lCX、AnyDesk等黑客工具控制目标机器、创建账户,并尝试远程登录目标机器。此外,攻击者还会使用fscan工具扫描设备所在内网,并尝试攻击内网中的其它机器。在获取到最多设备权限后开始部署勒索病毒。

1d1563ea023d182b01811948372748f.png

而Mallox勒索病毒的狡猾程度不止于此。调查发现,Mallox家族经历了三个发展阶段,每个阶段都会通过改变一些特征来区分受害者并躲避安全人员的追踪。第一阶段,攻击者在部署Mallox勒索病毒时,会将扩展名命名为被攻击企业的名称或其所属的行业名,如tohnichi、artiis、herrco、architek等,同时在勒索信息中提供暗网地址和ID用以与黑客联系。

4b31afaf8e671c1b819241aa33490ac.png

第二阶段,为了混淆安全研究人员对该家族攻击事件的跟踪,攻击者修改了之前包含目标企业名字的扩展名,变为周期性更换固定通用扩展名,同时攻击者开始停止提供暗网网址和ID,转为提供邮件地址供受害者进行联系。历经两次改变后,第三阶段攻击者再次改变其特点,将被加密文件扩展名修改为类似acookies-xxxxxxxx格式对受害者进行区分。

c5aaa2413bb10ba4417b911fce8b340.png

不过,Mallox勒索病毒不断变换特征的伎俩,并不能骗过360安全大脑。在发现病毒后,360终端安全产品快速进行了响应,通过上新安全补丁帮助政企客户保护财产安全。在此,360郑重提示,存在相应风险的用户,应尽快部署360终端安全产品,以应对此类攻击问题。