SSLoad Зловреден софтуер
Анализаторите по сигурността са открили постоянно кибер нападение, използващо фишинг имейли за разпространение на зловреден софтуер, известен като SSLoad. Наречена FROZEN#SHADOW, тази кампания използва Cobalt Strike заедно с ConnectWise ScreenConnect за достъп до отдалечен работен плот.
Основната цел на SSLoad е тайно проникване, ексфилтрация на данни и скрита комуникация с неговия команден център. При пробив SSLoad инсталира различни задни вратички и полезни товари, за да осигури дългосрочно присъствие и да избегне откриването.
Съдържание
Различните вектори на инфекция, използвани от киберпрестъпниците
Веригите от атаки включват използването на фишинг съобщения, насочени към организации в Азия, Европа и Америка. Тези имейли съдържат връзки, водещи към JavaScript файлове, иницииращи процеса на заразяване.
Предишни открития на изследователи подчертават два различни метода за разпространение на SSLoad. Единият метод използва формуляри за контакт на уебсайта за вграждане на злонамерени URL адреси, докато другият използва документи на Microsoft Word с активирани макроси. За отбелязване е, че последният метод улеснява доставката на Cobalt Strike чрез зловреден софтуер, докато първият разпространява друг вариант на зловреден софтуер, известен като Latrodectus , потенциално наследяващIcedID .
Как работи SSLoad атаката?
Скритият JavaScript файл ('out_czlrh.js') се изпълнява чрез wscript.exe, инициирайки процес за извличане на MSI инсталационен файл ('slack.msi') от мрежов дял на '\wireoneinternet[.]info@80\share' . Веднъж получен, инсталаторът използва msiexec.exe за изпълнение.
Впоследствие инсталаторът на MSI установява контакт с домейн, контролиран от атакуващия, за да придобие и внедри SSLoad зловреден софтуер чрез rundll32.exe. След това компрометираната система изпраща сигнали до сървър за командване и управление (C2), предавайки информация.
Този начален етап на разузнаване поставя началото на Cobalt Strike, легитимен софтуер за симулация на противник, който се използва за изтегляне и инсталиране на ScreenConnect. Това позволява на заплахите да получат дистанционен контрол над хоста.
Нападателите заразяват устройства в мрежата на жертвата и компрометират чувствителни данни
След като получат пълен достъп до системата, участниците в заплахата инициират придобиване на идентификационни данни и събират важна системна информация. Киберпрестъпниците започват да сканират хоста на жертвата за съхранени идентификационни данни във файлове и други потенциално чувствителни документи.
Освен това нападателите се насочват към други системи в мрежата, включително домейн контролера, като в крайна сметка нарушават Windows домейна на жертвата, като създават свой собствен администраторски акаунт на домейн.
Това високо ниво на достъп предоставя на злонамерени участници достъп до всяка свързана машина в домейна. В крайна сметка този сценарий представлява най-лошия изход за всяка организация, тъй като постоянството, постигнато от нападателите, изисква много време и ресурси за отстраняване.
Вземете мерки срещу кампании за атаки като FROZEN#SHADOW
Фишингът остава най-добрият метод за участниците в заплахите за извършване на успешни пробиви, въвеждане на зловреден софтуер и компрометиране на вътрешни системи. За потребителите на първа линия е изключително важно да разпознаят тези заплахи и да разберат как да ги идентифицират. Бъдете внимателни с нежеланите имейли, особено тези с неочаквано съдържание или чувство за неотложност.
По отношение на превенцията и откриването, изследователите предлагат да се въздържате от изтегляне на файлове или прикачени файлове от неизвестни външни източници, особено ако не са поискани. Често срещаните файлови типове, използвани при атаки, включват zip, rar, iso и pdf, като zip файловете се използват по-специално в тази кампания. Освен това се препоръчва наблюдение на често насочени директории за поставяне на зловреден софтуер, особено за свързана със скрипт дейност в директории с възможност за запис.
По време на различните фази на кампанията FROZEN#SHADOW, участниците в заплахата използваха криптирани канали през порт 443, за да избегнат откриването. Следователно, внедряването на стабилни възможности за регистриране на крайна точка е силно препоръчително, включително използване на допълнително регистриране на ниво процес за подобрено покритие на откриване.
