البرامج الضارة SSLoad
اكتشف محللو الأمن هجومًا إلكترونيًا مستمرًا باستخدام رسائل البريد الإلكتروني التصيدية لتوزيع سلالة من البرامج الضارة المعروفة باسم SSLoad. تستخدم هذه الحملة، التي يطلق عليها FROZEN#SHADOW، تقنية Cobalt Strike جنبًا إلى جنب مع ConnectWise ScreenConnect للوصول إلى سطح المكتب البعيد.
الهدف الأساسي لـ SSLoad هو التسلل السري وتسرب البيانات والتواصل الخفي مع مركز القيادة الخاص به. عند الاختراق، يقوم SSLoad بتثبيت العديد من الأبواب الخلفية والحمولات لضمان التواجد على المدى الطويل وتجنب الاكتشاف.
جدول المحتويات
نواقل العدوى المختلفة التي يستخدمها مجرمو الإنترنت
تتضمن سلاسل الهجوم استخدام رسائل التصيد الاحتيالي التي تستهدف المؤسسات في جميع أنحاء آسيا وأوروبا والأمريكتين. تحتوي رسائل البريد الإلكتروني هذه على روابط تؤدي إلى ملفات JavaScript، وتبدأ عملية الإصابة.
تسلط النتائج السابقة التي توصل إليها الباحثون الضوء على طريقتين متميزتين للتوزيع لـ SSLoad. تستخدم إحدى الطرق نماذج الاتصال بموقع الويب لتضمين عناوين URL الضارة، بينما تستخدم الطريقة الأخرى مستندات Microsoft Word التي تدعم وحدات الماكرو. والجدير بالذكر أن الطريقة الأخيرة تسهل تسليم Cobalt Strike عبر البرامج الضارة، بينما توزع الطريقة الأولى متغيرًا آخر من البرامج الضارة يُعرف باسم Latrodectus ، ومن المحتمل أن تحل محلIcedID .
كيف يعمل هجوم SSLoad؟
يتم تنفيذ ملف JavaScript المحجوب ('out_czlrh.js') من خلال wscript.exe، مما يؤدي إلى بدء عملية لاسترداد ملف تثبيت MSI ('slack.msi') من مشاركة شبكة على '\wireoneinternet[.]info@80\share' . بمجرد الحصول عليه، يستخدم المثبت msiexec.exe للتشغيل.
بعد ذلك، يقوم مثبت MSI بإنشاء اتصال مع مجال يتحكم فيه المهاجم للحصول على حمولة البرامج الضارة SSLoad ونشرها عبر rundll32.exe. بعد ذلك، يرسل النظام المخترق إشارات إلى خادم القيادة والتحكم (C2)، لنقل المعلومات.
تمهد مرحلة الاستطلاع الأولية هذه الطريق لـ Cobalt Strike، وهو برنامج محاكاة عدواني شرعي، يُستخدم لتنزيل ScreenConnect وتثبيته. وهذا يمكّن الجهات الفاعلة في مجال التهديد من التحكم عن بعد في المضيف.
يصيب المهاجمون الأجهزة عبر شبكة الضحية ويخترقون البيانات الحساسة
بعد اكتساب الوصول الكامل إلى النظام، تبدأ الجهات الفاعلة في التهديد بالحصول على بيانات الاعتماد وجمع معلومات النظام المهمة. يبدأ مجرمو الإنترنت في فحص مضيف الضحية بحثًا عن بيانات الاعتماد المخزنة داخل الملفات والمستندات الأخرى التي يحتمل أن تكون حساسة.
علاوة على ذلك، يركز المهاجمون على أنظمة أخرى داخل الشبكة، بما في ذلك وحدة التحكم بالمجال، مما يؤدي في النهاية إلى اختراق مجال Windows الخاص بالضحية عن طريق إنشاء حساب مسؤول المجال الخاص بهم.
يمنح هذا المستوى العالي من الوصول الجهات الفاعلة ذات التفكير السيئ إمكانية الدخول إلى أي جهاز متصل داخل المجال. في نهاية المطاف، يمثل هذا السيناريو النتيجة الأسوأ لأي منظمة، حيث أن الثبات الذي يحققه المهاجمون يتطلب وقتًا وموارد مكثفة للمعالجة.
اتخذ إجراءات ضد حملات الهجوم مثل FROZEN#SHADOW
يظل التصيد الاحتيالي هو الطريقة الأولى التي تستخدمها الجهات الفاعلة في مجال التهديد لتنفيذ انتهاكات ناجحة وإدخال برامج ضارة وتعريض الأنظمة الداخلية للخطر. من المهم جدًا لمستخدمي الخطوط الأمامية التعرف على هذه التهديدات وفهم كيفية التعرف عليها. توخي الحذر مع رسائل البريد الإلكتروني غير المرغوب فيها، وخاصة تلك التي تحتوي على محتوى غير متوقع أو شعور بالإلحاح.
ومن حيث الوقاية والكشف، يقترح الباحثون الامتناع عن تنزيل الملفات أو المرفقات من مصادر خارجية غير معروفة، خاصة إذا كانت غير مرغوب فيها. تشمل أنواع الملفات الشائعة المستخدمة في الهجمات ملفات zip وrar وiso وpdf، مع استخدام الملفات المضغوطة بشكل خاص في هذه الحملة. بالإضافة إلى ذلك، يُنصح بمراقبة الدلائل المرحلية للبرامج الضارة المستهدفة بشكل شائع، خاصة بالنسبة للأنشطة المتعلقة بالبرنامج النصي في الدلائل القابلة للكتابة.
طوال المراحل المختلفة لحملة FROZEN#SHADOW، استخدمت الجهات الفاعلة في التهديد القنوات المشفرة عبر المنفذ 443 لتجنب الكشف. ومن ثم، يوصى بشدة بنشر إمكانات تسجيل نقطة النهاية القوية، بما في ذلك الاستفادة من التسجيل الإضافي على مستوى العملية لتغطية الكشف المحسنة.
