Pesquisadores de segurança cibernética descobriram uma campanha contínua de engenharia social que bombardeia as empresas com e-mails de spam com o objetivo de obter acesso inicial aos seus ambientes para exploração posterior.
“O incidente envolve um agente de ameaça sobrecarregando o e-mail de um usuário com lixo eletrônico e ligando para o usuário, oferecendo assistência”, disseram os pesquisadores do Rapid7, Tyler McGraw, Thomas Elkins e Evan McCann.
“O agente da ameaça solicita aos usuários afetados que baixem software program de monitoramento e gerenciamento remoto como AnyDesk ou utilizem o recurso Fast Help integrado da Microsoft para estabelecer uma conexão remota.”
A nova campanha está em andamento desde o closing de abril de 2024, com os e-mails consistindo principalmente em mensagens de confirmação de inscrição em boletins informativos de organizações legítimas, com o objetivo de sobrecarregar as soluções de proteção de e-mail.
Os usuários afetados são então abordados por telefone, disfarçados como a equipe de TI da empresa, enganando-os para que instalem um software program de desktop remoto sob o pretexto de resolver os problemas de e-mail.
O acesso remoto ao computador é posteriormente aproveitado para baixar cargas adicionais para coletar credenciais e manter a persistência nos hosts.
Isso é feito executando vários scripts em lote, um dos quais também estabelece contato com um servidor de comando e controle (C2) para baixar uma cópia legítima do OpenSSH para Home windows e, por fim, iniciar um shell reverso no servidor.
Num incidente observado pela empresa de segurança cibernética, os atores da ameaça por trás da campanha tentaram, sem sucesso, implantar beacons Cobalt Strike para outros ativos dentro da rede comprometida.
Embora não haja evidências de execução de ransomware como parte da campanha, Rapid7 disse que a atividade se sobrepõe a indicadores de ataque previamente identificados associados aos operadores de ransomware Black Basta.
A cadeia de ataque também foi usada para fornecer ferramentas adicionais de monitoramento e gerenciamento remoto, como o ConnectWise ScreenConnect, bem como um trojan de acesso remoto chamado NetSupport RAT, que foi recentemente utilizado pelos atores do FIN7 como parte de uma campanha de malvertising.
Isto é particularmente digno de nota à luz do facto de que os atores do FIN7 são suspeitos de terem laços estreitos com Black Basta. Embora o FIN7 inicialmente tenha usado malware de ponto de venda (PoS) para conduzir fraudes financeiras, desde então ele se concentrou em operações de ransomware, seja na qualidade de afiliado ou conduzindo suas próprias operações sob os nomes DarkSide e BlackMatter.
“Depois de obter acesso com sucesso ao ativo comprometido, Rapid7 observou o agente da ameaça tentando implantar beacons Cobalt Strike, disfarçados como uma biblioteca de hyperlink dinâmico (DLL) legítima chamada 7z.DLL, para outros ativos dentro da mesma rede que o ativo comprometido usando o Conjunto de ferramentas Impacket”, disse Rapid7.
Phorpiex distribui LockBit preto
O desenvolvimento ocorre no momento em que a Proofpoint revela detalhes de uma nova campanha de ransomware LockBit Black (também conhecido como LockBit 3.0) que utiliza o botnet Phorpiex (também conhecido como Trik) como um canal para entregar mensagens de e-mail contendo a carga útil do ransomware.
Estima-se que milhões de mensagens foram enviadas durante a campanha de grande quantity que começou em 24 de abril de 2024. Atualmente não está claro quem está por trás do ataque.
“A amostra LockBit Black desta campanha provavelmente foi construída a partir do construtor LockBit que vazou durante o verão de 2023”, disseram os pesquisadores da Proofpoint.
“O construtor LockBit Black forneceu aos agentes de ameaças acesso a ransomware proprietário e sofisticado. A combinação disso com o botnet Phorpiex de longa knowledge amplifica a escala de tais campanhas de ameaças e aumenta as probabilities de ataques de ransomware bem-sucedidos.”
Insights sobre o Grupo Mallox Ransomware
Ataques de ransomware também foram observados com força bruta em servidores Microsoft SQL para implantar o malware de criptografia de arquivos Mallox por meio de um carregador baseado em .NET chamado PureCrypter, de acordo com Sekoia.
Um grupo fechado de ransomware operando na região europeia, Mallox é conhecido por ser distribuído pelo menos desde junho de 2021. Ganhou destaque em meados de 2022 após sua transição para um modelo de ransomware como serviço (RaaS) e uma estratégia de dupla extorsão .
Duas personas on-line diferentes associadas ao grupo, nomeadamente Mallx e RansomR, foram observadas recrutando ativamente afiliados para a operação em vários fóruns clandestinos.
Uma análise mais aprofundada do servidor de exfiltração de dados do agente da ameaça e de sua infraestrutura darkish internet revelou os nomes de diferentes membros da “equipe”, incluindo Administrador, Suporte, Maestro, Equipe, Neuroframe, Panda, Grindr, Hiervos e Vampiro.
“Mallox é quase certamente um conjunto de intrusões oportunistas que impactam organizações em vários setores verticais, notadamente os de manufatura, varejo e tecnologia”, disse a empresa.
“Embora os representantes da Mallox busquem ativamente alvos de alta receita (conforme indicado em postagens de recrutamento em fóruns de crimes cibernéticos), a maioria das vítimas do ransomware conhecidas em código aberto são pequenas e médias empresas”.
