近日， 360 安全大腦監(jiān)測(cè)發(fā)現(xiàn)多起Mallox勒索病毒攻擊事件。該病毒主要針對(duì)企業(yè)的Web應(yīng)用發(fā)起攻擊，包括Spring Boot、Weblogic、通達(dá)OA等，在拿下目標(biāo)設(shè)備權(quán)限后還會(huì)嘗試在內(nèi)網(wǎng)中橫向移動(dòng)，獲取更多設(shè)備的權(quán)限，危害性極大。 360 提醒用戶加強(qiáng)防護(hù)，并建議使用 360 終端安全產(chǎn)品提供的安全補(bǔ)丁，防御查殺該病毒。

360 安全大腦監(jiān)測(cè)歷史顯示，Mallox（又被稱(chēng)作Target Company）于 2021 年 10 月進(jìn)入中國(guó)，早期主要通過(guò)SQLGlobeImposter渠道進(jìn)行傳播（通過(guò)獲取到數(shù)據(jù)庫(kù)口令后，遠(yuǎn)程下發(fā)勒索病毒。該渠道曾長(zhǎng)期被GlobeImposter勒索病毒使用）。而今年GlobeImposter勒索病毒的傳播量逐漸下降，Mallox就逐漸占據(jù)了這一渠道。

除了傳播渠道之外， 360 通過(guò)分析近期攻擊案例發(fā)現(xiàn)，攻擊者會(huì)向Web應(yīng)用中植入大量的WebShell，而這些文件的文件名中會(huì)包含“kk”的特征字符。一旦成功入侵目標(biāo)設(shè)備，攻擊者會(huì)嘗試釋放PowerCat、lCX、AnyDesk等黑客工具控制目標(biāo)機(jī)器、創(chuàng)建賬戶，并嘗試遠(yuǎn)程登錄目標(biāo)機(jī)器。此外，攻擊者還會(huì)使用fscan工具掃描設(shè)備所在內(nèi)網(wǎng)，并嘗試攻擊內(nèi)網(wǎng)中的其它機(jī)器。在獲取到最多設(shè)備權(quán)限后開(kāi)始部署勒索病毒。

而Mallox勒索病毒的狡猾程度不止于此。調(diào)查發(fā)現(xiàn)，Mallox家族經(jīng)歷了三個(gè)發(fā)展階段，每個(gè)階段都會(huì)通過(guò)改變一些特征來(lái)區(qū)分受害者并躲避安全人員的追蹤。第一階段，攻擊者在部署Mallox勒索病毒時(shí)，會(huì)將擴(kuò)展名命名為被攻擊企業(yè)的名稱(chēng)或其所屬的行業(yè)名，如tohnichi、artiis、herrco、architek等，同時(shí)在勒索信息中提供暗網(wǎng)地址和ID用以與黑客聯(lián)系。

第二階段，為了混淆安全研究人員對(duì)該家族攻擊事件的跟蹤，攻擊者修改了之前包含目標(biāo)企業(yè)名字的擴(kuò)展名，變?yōu)橹芷谛愿鼡Q固定通用擴(kuò)展名，同時(shí)攻擊者開(kāi)始停止提供暗網(wǎng)網(wǎng)址和ID，轉(zhuǎn)為提供郵件地址供受害者進(jìn)行聯(lián)系。歷經(jīng)兩次改變后，第三階段攻擊者再次改變其特點(diǎn)，將被加密文件擴(kuò)展名修改為類(lèi)似acookies-xxxxxxxx格式對(duì)受害者進(jìn)行區(qū)分。

不過(guò)，Mallox勒索病毒不斷變換特征的伎倆，并不能騙過(guò) 360 安全大腦。在發(fā)現(xiàn)病毒后， 360 終端安全產(chǎn)品快速進(jìn)行了響應(yīng)，通過(guò)上新安全補(bǔ)丁幫助政企客戶保護(hù)財(cái)產(chǎn)安全。在此， 360 鄭重提示，存在相應(yīng)風(fēng)險(xiǎn)的用戶，應(yīng)盡快部署 360 終端安全產(chǎn)品，以應(yīng)對(duì)此類(lèi)攻擊問(wèn)題。