【安全资讯】Mallox扩展武器库：修改后的Kryptina勒索软件瞄准Linux

概要：

SentinelLabs发现，一个与Mallox（TargetCompany）攻击活动相关的团体，正在利用新修改的Kryptina勒索软件针对Linux系统发起攻击。之前仅专注于Windows的Mallox，现在转移目标至Linux和VMware ESXi，标志着其行动的显著演变。

主要内容：

根据SentinelLabs的发现，Mallox使用的新型勒索软件Mallox Linux 1.0乃根据Kryptina的源代码改写而成。Kryptina曾是低成本RaaS服务平台，但因市场反应不佳，其管理员“Corlys”在2024年2月将源代码泄露到黑客论坛。随后，Mallox的同伙利用这些源代码开发了新的勒索软件版本。

尽管外观有所改动，但新版本的勒索软件功能未改变，仍采用AES-256-CBC加密算法，并保持类似的解密程序。该软件只是对赎金通知和脚本中的文字作了修改，移除了Kryptina的名称。此外，攻击者服务器还包含其他工具，如Kaspersky的合法密码重置工具（KLAPR.BAT），以及漏洞利用工具CVE-2024-21338和Mallox载入器。

令人注意的是，朝鲜的Lazarus组织也利用CVE-2024-21338漏洞更新其FudModule rootkit，采用了将自身脆弱的驱动程序（BYOVD）技术，允许黑客完全访问内核内存。根据Palo Alto Networks的Unit 42数据显示，Mallox勒索软件在2023年的活动比前一年激增174%。该团体与TargetCompany、Tohnichi、Fargo以及近期出现的Xollam等威胁组织有紧密联系，主要针对制造业和专业服务公司等进行攻击。