一个新的Linux版本的TargetCompany勒索软件瞄准VMware ESXi环境

TargetCompany勒索软件组的一个新变种利用自定义shell脚本作为有效载荷传递和执行的手段，这是该技术首次在野外被观察到。该脚本还用于数据外泄，被盗的数据被发送到两个不同的服务器，以便勒索软件行为者备份信息。这个新的基于Linux的变种专门设计用来瞄准VMWare ESXi环境。

TargetCompany自2021年6月以来一直活跃，一旦加密文件，它会在加密文件的文件名后添加.mallox、.exploit、.architek或者.brg扩展名。与其他勒索软件一样，TargetCompany会删除所有驱动器上的影子副本，并关闭可能持有重要文件的一些进程，例如数据库。2022年2月，捷克网络安全软件公司Avast发布了一个解密工具，可以让TargetCompany勒索软件的受害者在特定情况下免费恢复其文件。

TargetCompany背后的威胁行为者还开始瞄准虚拟化环境，以扩大他们的攻击范围，造成更大的伤害和破坏。勒索软件操作者已经添加了检测机器是否运行在VMWare ESXi环境的功能，通过执行“uname”命令来判断。如果系统名称与“vmkernel”匹配，则表明该机器正在运行VMware的ESXi hypervisor。然后恶意软件进入“VM模式”以加密具有特定扩展名的文件。执行后，勒索软件会在所有包含加密文件的文件夹中释放一个名为TargetInfo.txt的文本文件，其中包含受害者信息。与勒索软件的Windows变种一样，文件TargetInfo.txt的内容随后被发送到C2服务器。加密过程完成后，它会在所有包含加密文件的文件夹中释放一个名为“HOW TO RECOVER !!.TXT”的赎金提示文件。恶意软件会在加密文件名后添加“.locked”扩展名。

“用于传递有效载荷和外泄受害者系统信息的IP地址尚未在以前的TargetCompany活动中观察到。根据研究，这个IP地址是由中国移动通信（China Mobile Communications）提供的，这是中国的一个互联网服务提供商（ISP）。” Trend Micro发布的报告中写道。“该证书最近注册，有效期仅为三个月，表明它可能是用于短期使用。”

Trend Micro将其研究人员分析的样本与一个名为“vampire”的联盟联系起来，通过向其C2服务器发送的数据识别了该联盟。专家们认为，正在进行更大规模的活动，要求高额赎金，并且有针对广泛IT系统的攻击。“vampire”可能与Sekoia发布的一份报告中提到的一个联盟有关。恶意行为者不断改进他们的TTPs，正如TargetCompany的新Linux变种所证明的那样。最新的发展使运营商能够通过瞄准VMware ESXi环境扩大潜在受害者范围。

原文始发于微信公众号（黑猫安全）：一个新的Linux版本的TargetCompany勒索软件瞄准VMware ESXi环境