0xNews - 취약한 MS-SQL 서버를 노리고 네트워크에 칩입하는 Mallox 랜섬웨어 공격 경고

Palo Alto Networks Unit42 발표

새 조사 결과에 따르면 2023년 Mallox 랜섬웨어 활동은 전년 대비 174% 증가

Mallox 랜섬웨어는 다른 많은 랜섬웨어 공격자와 마찬가지로 이중 갈취 double extortion 추세를 보임

조직의 파일을 암호화하기 전 데이터를 탈취하여 다음 피해자가 몸값을 지불하도록 유도하기 위한 수단으로 탈취한 데이터를 유출 사이트에 게시하겠다고 위협

Mallox 는 TargetCompany, Tohnichi, Fargo, Xollam 과 같은 다른 랜섬웨어 변종에도 공격자가 연관이 되어 있는 것으로 판단

2021년 6월 최초 등장

Mallox 의 주요 대상은 제조업, 특정 전문 분야, 법률 서비스, 도매, 소매 업종 등으로 확인

공격에 대한 주목할만한 측면은 피해자의 네트워크를 손상시키기 위한 침투 벡터로 사전 공격 Dictionary attacks 실행

이를 통해 보안이 취약한 MS-SQL 서버를 악용하는 것이 중요 패턴

Xollam 은 초기 접속에 악성 MS 의 OneNote 첨부 파일을 사용하는 것이 확인되었다는 점에서 공격 방식의 변화를 확인

공격 후 호스트 감염에 성공하여 거점을 확보하게 되면 PowerShell 명령이 실행되어 원격 서버에서 랜섬웨어 페이로드 검색

이 바이너리는 암호화 프로세스를 시작하기 전

SQL 관련 서비스를 중지하거나 제거

볼륨 쉐도우 복사본 삭제

시스템 이벤트 로그 삭제

보안 관련 프로세스 강제 종료

랜섬웨어 공격에 대응하도록 설계된 오픈소스 도구인 Raccine 우회 시도

이런 일련의 실행 후 랜섬웨어가 실행되어 DB정보가 랜섬웨어 암호화 실행

TargetCompany 는 작고 폐쇄적인 그룹으로 남아있지만 RAMP 사이버 범죄 포럼에서 Mallox RassS Ransomware-as-a-Service 제휴 프로그램을 위한 제휴사를 모집하는 것으로 최근 확인

랜섬웨어는 2023년 상반기에만 4억 4910만 달러 이상의 사이버 범죄자에게 수익을 창출

꾸준히 수익성 있는 금융 계획이 되면서 개발과 발전을 이루고 있는 중

Mallox 감염의 갑작스러운 급증인 랜섬웨어 공격이 2023년 6월 기준 전년도 대비 221% 급증

2023년 6월에만 434건 공격 보고

공격의 범위가 급격히 넓어진 징후로 판단

이는 주로 Cl0p 의 MOVEit 파일 전송 소프트웨어 취약점 악용에 기인하는 것으로 추정

MOVEit 는 CVE-2023-36934 로 지정

태그가 지정되어 확인된 SQL 인젝션 취약점은 인증되지 않은 공격자가 MOVEit Transfer 데이터베이스에 대한 무단 접속 권한을 획득할 수 있도록 허용함

해당 취약점이 중요한 이유는 로그인하지 않고도 취약점 악용이 가능

openLab