One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8514942 |
| Date de publication | 2024-06-07 21:10:07 (vue: 2024-06-07 22:08:07) |
| Titre | TargetCompany\'s Linux Variant Targets ESXi Environments |
| Texte | #### Géolocations ciblées - Taïwan - Inde - Thaïlande - Corée ## Instantané Trend Micro a indiqué que le groupe Ransomware TargetCompany a introduit une nouvelle variante Linux du malware en utilisant un script de shell personnalisé pour la livraison et l'exécution de la charge utile. Lire la rédaction de Microsoft \\ sur TargetCompany Ransomware [ici] (https://security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e). ## Description Détectée pour la première fois en juin 2021, TargetCompany Ransomware est également suivi comme Mallox, Fargo et Tohnichi.Depuis sa création, le groupe de menaces TargetCompany a modifié les techniques de Ransomware \\ pour échapper aux détections.Récemment, le groupe a publié une nouvelle variante Linux qui a une CRIPT Shell personnalisée pour la livraison et l'exécution de la charge utile. Cette méthode est unique à cette variante, marquant une évolution significative des versions précédentes.Le script shell facilite non seulement le déploiement des ransomwares, mais exfiltre également les données de victime à deux serveurs, assurant la sauvegarde. Cette variante Linux cible spécifiquement les environnements VMware ESXi, visant à maximiser les perturbations et à augmenter les paiements de rançon car ceux-ci hébergent souvent une infrastructure virtualisée critique dans les organisations.Le ransomware vérifie les droits administratifs avant de procéder, supprimant un fichier nommé cibleInfo.txt pour recueillir et envoyer des informations de victime à un serveur de commande et de contrôle.Le binaire vérifie un environnement VMware et procède avec cryptage s'il est confirmé, ajoutant ".Rocked" aux fichiers cryptés et abandonnant une note de rançon nommée comment décrypter.txt. Le script de shell personnalisé, une nouvelle fonctionnalité, télécharge et exécute la charge utile des ransomwares à partir d'une URL spécifiée, en utilisant des commandes comme "wget" ou "curl".Après l'exécution, le script lit cibleInfo.txt et le télécharge sur un autre serveur, garantissant la redondance des données.Après la routine, le script supprime la charge utile, compliquant l'analyse médico-légale. Cette nouvelle technique, impliquant une exfiltration de données à double données et un ciblage des environnements de virtualisation, présente l'évolution et la sophistication continues du groupe.L'infrastructure de cette attaque comprend un IP hébergé par China Mobile Communications;Cependant, le certificat n'est valable que trois mois suggérant une utilisation à court terme pour les activités malveillantes.Au cours de cette année, Trendmicro a observé que l'activité cible de la composition était concentrée à Taïwan, en Inde, en Thaïlande et en Corée du Sud. ## Analyse Microsoft Les acteurs de menace libèrent souvent des variantes Linux en logiciels malveillants afin d'augmenter leur base cible et de contourner les mesures de sécurité.D'autres types de logiciels malveillants comme AbySS Locker, un puissant ransomware de cryptor et Nood Rat, une variante du rat malveillant malveillant de porte dérobée, ont tous deux des variantes Linux. En savoir plus sur les tendances récentes OSINT dans LinUX Malware [ici] (https://security.microsoft.com/intel-explorer/articles/ccbece59). ## Détections / requêtes de chasse ** microRosoft Defender pour Endpoint ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [Ransom: win32 / fargo] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32 / fargo.zz & menaceID = -2147130109) * - * [Ransom: win64 / mallox] (https://www.microsoft.com/en-us/wdsi/atheats/malware-encycopedia-desCription? Name = Ransom: Win64 / Mallox & menaceID = -2147061166) * ## Recommandations Microsoft recommande les atténuations suivantes pour rédu |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | #### **microsoft 2021 2024 2147061166 2147130109 21562b1004d5/analystreport 365/security/defender 4b5e 5155 about abyss access accessed action activities activity actors administrative advanced advised af74 after against age aiming alert alerts allow also analysis another antivirus appending are artifacts attack attacker authority automated backdoor backup base based before behind being binary bleeping bleepingcomputer block both breach breaches but can card certificate changes check checks china circumvent client cloud com/en com/intel com/microsoft com/news/security/linux com/threatanalytics3/9382203e command commands common communications; complicating components computer concentrated configure confirmed content continuous control controlled cover credential cript criterion critical curl custom customers data decrypt defend defender deletes delivered delivery deployment description detect detected detections detections/hunting detects disruption does downloads dropping dual during edr email enable enabled encrypted encryption encryptor encyclopedia endpoint endpoint** endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent ensure ensuring environment environments equivalent esxi esxi/ evade even evolution evolving executable executes execution exfiltrates exfiltration explorer/articles/ccbece59 facilitates fargo feature file files first focuses folder folders follow following forensic from full gather geolocations gh0st group hardening has have here host hosted how however html https://learn https://security https://www immediate impact inception includes increase india information infrastructure introduced investigation investigations involving its june korea learndoc learning like linux list local locked locker lsa lsass machine majority malicious mallox mallox/fargo malware malware: manage marking maximize measures meet method micro microsoft mitigations mobile mode modified monitored months more name=ransom:win32/fargo name=ransom:win64/mallox&threatid= named network new non nood not note observed ocid=magicti often only order organizations osint other overview passive payload payouts post powerful preferences premises prevalence prevent previous proceeding proceeds product profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e protection protection#how protections queries ransom ransom:win32/fargo ransom:win64/mallox ransomware rapidly rat read reads recent recently recommendations recommends reduce reducing reduction redundancy reference#block reference#use references release released remediate remediation resolve rights routine rule rules run running scenes script security send server servers settings shell short showcases significant significantly since snapshot sophistication south specifically specified status stealing subsystem suggesting surface taiwan take tamper target targetcompany targeted targetinfo targeting targets technique techniques term thailand theft these thetargetcompany threat threats three tohnichi tools tracked trend trendmicro trends trusted turn two txt types unique unknown unless uploads url us/defender us/research/24/f/targetcompany us/wdsi/threats/malware use used using utilizing valid variant variants version versions victim view=o365 virtualization virtualized vmware volume webmail wget when windows works worldwide write xdr year your zz&threatid= the |
| Tags | Ransomware Malware Tool Threat Mobile Prediction |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.