Mallox ランサムウェアの脅威:MS-SQL & ODBC の古い脆弱性を狙い続けている

Mallox ransomware Exploits Old Flaws in MS-SQL & ODBC

2013/12/14 Penetration Testing — マルウェア・ファミリーや脅威アクター・グループが絶え間なく入れ替わるという、進化し続けるサイバー環境の中で、Mallox ランサムウェアは手強い敵として浮上している。SentinelOne のセキュリティ専門家たちは、Mallox の主なアクセス取得方法を解明し、最新のペイロードを包括的に分析することで、このグループの最新の活動に焦点を合わせている。2021年に初めて確認された、TargetCompany とも呼ばれてきた Mallox は、一貫してランサムウェア領域のダークホースとして、企業データの着実な漏えいを達成してきた。


Mallox は Ransomware-as-a-Service (RaaS) モデルの下で活動しており、Nulled や RAMP のような地下フォーラムを巧みに活用して、その悪意のサービスを宣伝/拡大している。このグループの活動は洗練されており、専用の TOR ベースのリーク・サイトや、Twitter/X などのソーシャルメディア上で強固な存在感を示し、自分たちの成果を公表し、盗み出したデータを暴露している。

Mallox Data Leak Site | Image: SentinelOne

このグループの主な手口は、一般に公開されているサービスの脆弱性の悪用を中心に展開され、MS-SQL (Microsoft SQL Server) と ODBC インターフェイスを集中的に攻撃し続けている。Microsoft SQL Server の CVE-2019-1068/CVE-2020-0618 などの、パッチ未適用のリモートコード実行の脆弱性を標的とすることで、Mallox は侵入を成功させてきた。さらに、このグループは、脆弱な設定を持つサービスに対して、ブルートフォース攻撃を採用することでも知られており、MS-SQL インターフェイスに対するディクショナリ・ベース攻撃により、イニシャル・アクセスを獲得している。

いったんシステム内に侵入した Mallox ギャングは、時間を無駄にしない。彼らは PowerShell コマンドを実行して、さまざまなバッチス・クリプトを実行し、ランサムウェアのペイロードをダウンロードする。Kill-Delete.bat や Bwmeldokiller.bat などのツールが戦略的に使用され、暗号化ルーチンを妨げるプロセスを終了/削除する。その後に、狡猾な PowerShell スクリプトと Windows Management Instrumentation (WMIC) コマンドを組み合わせて、ランサムウェアのペイロードを実行する。

Mallox.Resurrection と呼ばれる最新の Mallox ペイロードは、このグループの適応性と持続性を浮き彫りにしている。これらの亜種は、特定のファイルタイプやプロセスを暗号化から除外するための、ハードコードされた機能を有している。この選択的なアプローチは、洗練された戦略的な作戦を示し、巻き添え被害を最小限に抑えながら最大の影響を確実に与える。

残念なことに、Mallox の被害に遭った人々が身代金要求に応じないと、深刻な脅威が生じてくる。このようなプレッシャーをかける戦術は、緊急かつ効果的なサイバー・セキュリティ対策の必要性を強調している。

以前において Mallox は、ペイロードの復号化ツールが公開されるなどの後退が生じていたが、着実な侵害の流れを維持している。パッチが適用されていない MS-SQL インターフェースや、脆弱なパスワードを悪用し続けるという、このグループの適応能力の高さに注目すべきである。それぞれのユーザー組織は、エンドポイントやクラウドにおけるセキュリティ・ソリューションの導入と並行して、インターネットに公開されているアプリケーションやサービスを見直し、強化することが強く求められている。

結論として、Mallox ランサムウェアの永続性と進化は、サイバー世界に潜み続ける危険の証である。このような脅威を食い止めるために必要なことは、継続的な警戒および、定期的なアップデート、高度なサイバー・セキュリティ防御への投資である。

新たなランサムウェア・ファミリーとして、Mallox が登場してきたとのことです。ただ、今日の記事を読む限りでは、Microsoft SQL Server の古い脆弱性を悪用して、イニシャル・アクセスも成功させるという側面も持っているようです。この Mallox は、2023/07/20 の「Mallox ランサムウェアが 174% 増:脆弱な MS-SQL サーバを介してネットワークに侵入」でも解説されていますので、よろしければ、ご参照ください。