SSLoad Malware
អ្នកវិភាគសុវត្ថិភាពបានរកឃើញការវាយលុកតាមអ៊ីនធឺណេតជាប់លាប់ដោយប្រើអ៊ីមែលបន្លំដើម្បីចែកចាយមេរោគដែលស្គាល់ថាជា SSLoad ។ ដាក់ឈ្មោះថា FROZEN#SHADOW យុទ្ធនាការនេះប្រើ Cobalt Strike រួមជាមួយ ConnectWise ScreenConnect សម្រាប់ការចូលប្រើកុំព្យូទ័រពីចម្ងាយ។
គោលបំណងចម្បងរបស់ SSLoad គឺការជ្រៀតចូលដោយសម្ងាត់ ការបន្លំទិន្នន័យ និងការប្រាស្រ័យទាក់ទងដោយសម្ងាត់ជាមួយមជ្ឈមណ្ឌលបញ្ជារបស់វា។ នៅពេលមានការបំពាន SSLoad ដំឡើង backdoors និង payloads ផ្សេងៗ ដើម្បីធានាបាននូវវត្តមានរយៈពេលវែង និងគេចពីការរកឃើញ។
តារាងមាតិកា
វ៉ិចទ័រឆ្លងមេរោគផ្សេងៗគ្នាដែលប្រើប្រាស់ដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត
ខ្សែសង្វាក់វាយប្រហារពាក់ព័ន្ធនឹងការប្រើប្រាស់សារបន្លំដែលសំដៅទៅលើអង្គការនានានៅទូទាំងអាស៊ី អឺរ៉ុប និងអាមេរិក។ អ៊ីមែលទាំងនេះមានតំណភ្ជាប់ដែលនាំទៅដល់ឯកសារ JavaScript ដែលចាប់ផ្តើមដំណើរការឆ្លងមេរោគ។
ការរកឃើញពីមុនពីអ្នកស្រាវជ្រាវបង្ហាញពីវិធីសាស្រ្តចែកចាយពីរផ្សេងគ្នាសម្រាប់ SSLoad ។ វិធីសាស្រ្តមួយប្រើប្រាស់ទម្រង់ទំនាក់ទំនងគេហទំព័រដើម្បីបង្កប់ URLs ព្យាបាទ ខណៈពេលដែលមួយទៀតប្រើឯកសារ Microsoft Word ដែលបើកដំណើរការម៉ាក្រូ។ គួរកត់សម្គាល់ថា វិធីសាស្ត្រចុងក្រោយនេះជួយសម្រួលដល់ការចែកចាយ Cobalt Strike តាមរយៈមេរោគ ខណៈពេលដែលអតីតចែកចាយមេរោគផ្សេងទៀតដែលគេស្គាល់ថាជា Latrodectus ដែលអាចទទួលបានជោគជ័យIcedID ។
តើការវាយប្រហារ SSLoad ដំណើរការយ៉ាងដូចម្តេច?
ឯកសារ JavaScript ដែលមិនច្បាស់លាស់ ('out_czlrh.js') ដំណើរការតាមរយៈ wscript.exe ដោយចាប់ផ្តើមដំណើរការដើម្បីទាញយកឯកសារកម្មវិធីដំឡើង MSI ('slack.msi') ពីការចែករំលែកបណ្តាញនៅ '\wireoneinternet[.]info@80\share' . នៅពេលទទួលបានកម្មវិធីដំឡើងប្រើ msiexec.exe ដើម្បីដំណើរការ។
ក្រោយមក កម្មវិធីដំឡើង MSI បង្កើតទំនាក់ទំនងជាមួយដែនដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដើម្បីទទួលបាន និងដាក់ពង្រាយ SSLoad malware payload តាមរយៈ rundll32.exe ។ បន្ទាប់ពីនេះ ប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលបញ្ជូនសញ្ញាទៅម៉ាស៊ីនមេ Command-and-Control (C2) ដោយបញ្ជូនព័ត៌មាន។
ដំណាក់កាលឈ្លបយកការណ៍ដំបូងនេះកំណត់ដំណាក់កាលសម្រាប់ Cobalt Strike ដែលជាកម្មវិធីក្លែងធ្វើសត្រូវស្របច្បាប់ ដែលត្រូវបានជួលឱ្យទាញយក និងដំឡើង ScreenConnect ។ នេះអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងទទួលបានការគ្រប់គ្រងពីចម្ងាយលើម៉ាស៊ីន។
អ្នកវាយប្រហារឆ្លងឧបករណ៍ឆ្លងកាត់បណ្តាញជនរងគ្រោះ និងសម្របសម្រួលទិន្នន័យរសើប
ដោយទទួលបានការចូលប្រើប្រព័ន្ធពេញលេញ តួអង្គគំរាមកំហែងចាប់ផ្តើមការទិញយកព័ត៌មានសម្ងាត់ និងប្រមូលព័ត៌មានប្រព័ន្ធសំខាន់ៗ។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតចាប់ផ្តើមស្កេនម៉ាស៊ីនជនរងគ្រោះសម្រាប់ព័ត៌មានសម្ងាត់ដែលបានរក្សាទុកនៅក្នុងឯកសារ និងឯកសារដែលងាយរងគ្រោះផ្សេងទៀត។
លើសពីនេះ អ្នកវាយប្រហារបានបង្វែរទៅប្រព័ន្ធផ្សេងទៀតនៅក្នុងបណ្តាញ រួមទាំងឧបករណ៍បញ្ជាដែន ទីបំផុតបានរំលោភបំពានដែន Windows របស់ជនរងគ្រោះដោយបង្កើតគណនីអ្នកគ្រប់គ្រងដែនផ្ទាល់ខ្លួនរបស់ពួកគេ។
កម្រិតខ្ពស់នៃការចូលប្រើនេះផ្តល់ឱ្យតួអង្គដែលមានគំនិតមិនល្អចូលទៅក្នុងម៉ាស៊ីនដែលបានតភ្ជាប់ណាមួយនៅក្នុងដែន។ ទីបំផុត សេណារីយ៉ូនេះតំណាងឱ្យលទ្ធផលនៃករណីដ៏អាក្រក់បំផុតសម្រាប់អង្គការណាមួយ ដោយសារការតស៊ូដែលសម្រេចបានដោយអ្នកវាយប្រហារ ត្រូវការពេលវេលា និងធនធានយ៉ាងទូលំទូលាយសម្រាប់ការជួសជុល។
ចាត់វិធានការប្រឆាំងនឹងយុទ្ធនាការវាយប្រហារដូចជា FROZEN#SHADOW
Phishing នៅតែជាវិធីសាស្រ្តកំពូលសម្រាប់តួអង្គគំរាមកំហែងដើម្បីអនុវត្តការបំពានដោយជោគជ័យ ការណែនាំអំពីមេរោគ និងការសម្របសម្រួលប្រព័ន្ធខាងក្នុង។ វាមានសារៈសំខាន់សម្រាប់អ្នកប្រើប្រាស់ជួរមុខក្នុងការទទួលស្គាល់ការគំរាមកំហែងទាំងនេះ និងយល់ពីរបៀបកំណត់អត្តសញ្ញាណពួកគេ។ អនុវត្តការប្រុងប្រយ័ត្នជាមួយអ៊ីមែលដែលមិនបានស្នើសុំ ជាពិសេសអ្នកដែលមានខ្លឹមសារដែលមិនរំពឹងទុក ឬអារម្មណ៍បន្ទាន់។
នៅក្នុងលក្ខខណ្ឌនៃការបង្ការ និងការរកឃើញ អ្នកស្រាវជ្រាវស្នើឱ្យចៀសវាងការទាញយកឯកសារ ឬឯកសារភ្ជាប់ពីប្រភពខាងក្រៅដែលមិនស្គាល់ ជាពិសេសប្រសិនបើពួកគេមិនត្រូវបានស្នើសុំ។ ប្រភេទឯកសារទូទៅដែលប្រើក្នុងការវាយប្រហាររួមមាន zip, rar, iso, និង pdf ជាមួយនឹងឯកសារ zip ដែលត្រូវបានប្រើប្រាស់ជាពិសេសនៅក្នុងយុទ្ធនាការនេះ។ បន្ថែមពីលើនេះ ការត្រួតពិនិត្យបញ្ជីរាយនាមមេរោគដែលកំណត់គោលដៅជាទូទៅត្រូវបានណែនាំ ជាពិសេសសម្រាប់សកម្មភាពទាក់ទងនឹងស្គ្រីបនៅក្នុងថតដែលអាចសរសេរបាន។
ពេញមួយដំណាក់កាលនៃយុទ្ធនាការ FROZEN#SHADOW តួអង្គគំរាមកំហែងបានប្រើប្រាស់បណ្តាញអ៊ីនគ្រីបនៅលើច្រក 443 ដើម្បីគេចពីការរកឃើញ។ អាស្រ័យហេតុនេះ ការដាក់ពង្រាយសមត្ថភាពកត់ត្រាចំណុចបញ្ចប់ដ៏រឹងមាំត្រូវបានផ្តល់អនុសាសន៍យ៉ាងខ្លាំង រួមទាំងការប្រើប្រាស់ការកត់ត្រាកម្រិតដំណើរការបន្ថែមសម្រាប់ការគ្របដណ្តប់ការរកឃើញដែលប្រសើរឡើង។
