SSLoad Malware

নিরাপত্তা বিশ্লেষকরা SSLoad নামে পরিচিত একটি ম্যালওয়্যার স্ট্রেন বিতরণ করতে ফিশিং ইমেল ব্যবহার করে একটি ক্রমাগত সাইবার হামলার সন্ধান করেছেন৷ FROZEN#SHADOW ডাব করা, এই প্রচারাভিযানটি দূরবর্তী ডেস্কটপ অ্যাক্সেসের জন্য ConnectWise ScreenConnect এর পাশাপাশি কোবাল্ট স্ট্রাইককে নিয়োগ করে।

SSLoad এর প্রাথমিক উদ্দেশ্য হল গোপন অনুপ্রবেশ, ডেটা এক্সফিল্টেশন এবং এর কমান্ড সেন্টারের সাথে গোপন যোগাযোগ। লঙ্ঘনের পরে, দীর্ঘমেয়াদী উপস্থিতি নিশ্চিত করতে এবং সনাক্তকরণ এড়াতে SSLoad বিভিন্ন ব্যাকডোর এবং পেলোড ইনস্টল করে।

সাইবার অপরাধীদের দ্বারা ব্যবহৃত বিভিন্ন সংক্রমণ ভেক্টর

অ্যাটাক চেইনগুলি এশিয়া, ইউরোপ এবং আমেরিকা জুড়ে সংস্থাগুলিকে লক্ষ্য করে ফিশিং বার্তাগুলির ব্যবহার জড়িত৷ এই ইমেলগুলিতে জাভাস্ক্রিপ্ট ফাইলগুলির দিকে যাওয়ার লিঙ্ক রয়েছে যা সংক্রমণ প্রক্রিয়া শুরু করে।

গবেষকদের পূর্ববর্তী অনুসন্ধানগুলি SSLoad এর জন্য দুটি স্বতন্ত্র বিতরণ পদ্ধতি হাইলাইট করে। একটি পদ্ধতি দূষিত URL এম্বেড করার জন্য ওয়েবসাইট যোগাযোগ ফর্ম ব্যবহার করে, অন্যটি ম্যাক্রো-সক্ষম Microsoft Word নথি নিয়োগ করে। উল্লেখযোগ্যভাবে, পরবর্তী পদ্ধতিটি ম্যালওয়্যারের মাধ্যমে কোবাল্ট স্ট্রাইক সরবরাহের সুবিধা দেয়, যখন পূর্ববর্তীটি ল্যাট্রোডেক্টাস নামে পরিচিত আরেকটি ম্যালওয়্যার বৈকল্পিক বিতরণ করে, সম্ভাব্যভাবেIcedID-এর উত্তরসূরি।

কিভাবে SSLoad আক্রমণ কাজ করে?

অস্পষ্ট জাভাস্ক্রিপ্ট ফাইল ('out_czlrh.js') wscript.exe-এর মাধ্যমে কার্যকর করে, '\wireoneinternet[.]info@80\share'-এ একটি নেটওয়ার্ক শেয়ার থেকে একটি MSI ইনস্টলার ফাইল ('slack.msi') পুনরুদ্ধার করার প্রক্রিয়া শুরু করে। . একবার প্রাপ্ত হলে, ইনস্টলার চালানোর জন্য msiexec.exe ব্যবহার করে।

পরবর্তীকালে, MSI ইনস্টলার rundll32.exe এর মাধ্যমে SSLoad ম্যালওয়্যার পেলোড অর্জন এবং স্থাপন করতে আক্রমণকারী দ্বারা নিয়ন্ত্রিত একটি ডোমেনের সাথে যোগাযোগ স্থাপন করে। এটি অনুসরণ করে, আপোসকৃত সিস্টেম একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারে সংকেত পাঠায়, তথ্য প্রেরণ করে।

এই প্রাথমিক পুনরুদ্ধার পর্যায়টি কোবাল্ট স্ট্রাইকের জন্য মঞ্চ সেট করে, একটি বৈধ প্রতিপক্ষ সিমুলেশন সফ্টওয়্যার, যা স্ক্রিনকানেক্ট ডাউনলোড এবং ইনস্টল করার জন্য নিযুক্ত করা হয়। এটি হোস্টের উপর রিমোট কন্ট্রোল পেতে হুমকি অভিনেতাদের সক্ষম করে।

আক্রমণকারীরা ভিক্টিমের নেটওয়ার্ক জুড়ে ডিভাইসগুলিকে সংক্রামিত করে এবং সংবেদনশীল ডেটা আপোস করে

সম্পূর্ণ সিস্টেম অ্যাক্সেস অর্জন করার পরে, হুমকি অভিনেতারা শংসাপত্র অধিগ্রহণ শুরু করে এবং সিস্টেমের গুরুত্বপূর্ণ তথ্য সংগ্রহ করে। সাইবার অপরাধীরা ফাইল এবং অন্যান্য সম্ভাব্য সংবেদনশীল নথির মধ্যে সংরক্ষিত শংসাপত্রের জন্য শিকার হোস্টকে স্ক্যান করা শুরু করে।

উপরন্তু, আক্রমণকারীরা ডোমেন কন্ট্রোলার সহ নেটওয়ার্কের মধ্যে অন্যান্য সিস্টেমে পিভট করে, শেষ পর্যন্ত তাদের নিজস্ব ডোমেন অ্যাডমিনিস্ট্রেটর অ্যাকাউন্ট প্রতিষ্ঠা করে শিকারের উইন্ডোজ ডোমেন লঙ্ঘন করে।

এই উচ্চ স্তরের অ্যাক্সেস ডোমেনের মধ্যে যেকোন সংযুক্ত মেশিনে অসুস্থ মানসিকতার অভিনেতাদের প্রবেশ মঞ্জুর করে। পরিশেষে, এই দৃশ্যটি যেকোন প্রতিষ্ঠানের জন্য সবচেয়ে খারাপ-কেস ফলাফলের প্রতিনিধিত্ব করে, কারণ আক্রমণকারীদের দ্বারা অর্জিত অধ্যবসায়ের জন্য প্রতিকারের জন্য ব্যাপক সময় এবং সংস্থান প্রয়োজন।

হিমায়িত #ছায়ার মত আক্রমণ অভিযানের বিরুদ্ধে ব্যবস্থা নিন

ফিশিং হুমকি অভিনেতাদের সফল লঙ্ঘন চালানো, ম্যালওয়্যার প্রবর্তন এবং অভ্যন্তরীণ সিস্টেমের সাথে আপস করার জন্য শীর্ষ পদ্ধতি। ফ্রন্টলাইন ব্যবহারকারীদের জন্য এই হুমকিগুলি সনাক্ত করা এবং কীভাবে তাদের সনাক্ত করা যায় তা বোঝা গুরুত্বপূর্ণ। অপ্রত্যাশিত ইমেলগুলির সাথে সতর্কতা অবলম্বন করুন, বিশেষত অপ্রত্যাশিত বিষয়বস্তু বা জরুরী বোধের সাথে।

প্রতিরোধ এবং সনাক্তকরণের ক্ষেত্রে, গবেষকরা অজানা বাহ্যিক উত্স থেকে ফাইল বা সংযুক্তিগুলি ডাউনলোড করা থেকে বিরত থাকার পরামর্শ দেন, বিশেষত যদি সেগুলি অযাচিত হয়। আক্রমণে ব্যবহৃত সাধারণ ফাইলের ধরনগুলির মধ্যে রয়েছে zip, rar, iso এবং pdf, এই প্রচারাভিযানে উল্লেখযোগ্যভাবে ব্যবহৃত জিপ ফাইলগুলির সাথে। অতিরিক্তভাবে, সাধারণত লক্ষ্যযুক্ত ম্যালওয়্যার স্টেজিং ডিরেক্টরিগুলি পর্যবেক্ষণ করার পরামর্শ দেওয়া হয়, বিশেষত লিখনযোগ্য ডিরেক্টরিগুলিতে স্ক্রিপ্ট-সম্পর্কিত কার্যকলাপের জন্য।

FROZEN#SHADOW অভিযানের বিভিন্ন পর্যায়ে, হুমকি অভিনেতারা সনাক্তকরণ এড়াতে পোর্ট 443-এ এনক্রিপ্ট করা চ্যানেল ব্যবহার করেছে। তাই, বর্ধিত সনাক্তকরণ কভারেজের জন্য অতিরিক্ত প্রসেস-লেভেল লগিং সুবিধা সহ শক্তিশালী এন্ডপয়েন্ট লগিং ক্ষমতা স্থাপনের দৃঢ়ভাবে সুপারিশ করা হয়।