SSLoad Malware

Els analistes de seguretat han descobert un atac cibernètic persistent mitjançant correus electrònics de pesca per distribuir una soca de programari maliciós coneguda com SSLoad. Anomenada FROZEN#SHADOW, aquesta campanya utilitza Cobalt Strike juntament amb ConnectWise ScreenConnect per accedir a l'escriptori remot.

L'objectiu principal de SSLoad és la infiltració clandestina, l'exfiltració de dades i la comunicació subrepticia amb el seu centre de comandament. En cas d'incompliment, SSLoad instal·la diverses portes posteriors i càrregues útils per garantir la presència a llarg termini i evitar la detecció.

Els diferents vectors d'infecció utilitzats pels cibercriminals

Les cadenes d'atac impliquen la utilització de missatges de pesca dirigits a organitzacions d'Àsia, Europa i Amèrica. Aquests correus electrònics contenen enllaços que condueixen a fitxers JavaScript, iniciant el procés d'infecció.

Les troballes anteriors dels investigadors destaquen dos mètodes de distribució diferents per a SSLoad. Un mètode utilitza formularis de contacte del lloc web per incrustar URL maliciosos, mentre que l'altre utilitza documents de Microsoft Word amb macros. En particular, aquest últim mètode facilita el lliurament de Cobalt Strike mitjançant programari maliciós, mentre que el primer distribueix una altra variant de programari maliciós coneguda com Latrodectus , potencialment succeinta IcedID .

Com funciona l'atac SSLoad?

El fitxer JavaScript enfosquit ('out_czlrh.js') s'executa mitjançant wscript.exe, iniciant un procés per recuperar un fitxer d'instal·lació MSI ('slack.msi') des d'una xarxa compartida a '\wireoneinternet[.]info@80\share' . Un cop obtingut, l'instal·lador utilitza msiexec.exe per executar-se.

Posteriorment, l'instal·lador MSI estableix contacte amb un domini controlat per l'atacant per adquirir i desplegar la càrrega útil del programari maliciós SSLoad mitjançant rundll32.exe. Després d'això, el sistema compromès envia senyals a un servidor de comandament i control (C2), transmetent informació.

Aquesta etapa inicial de reconeixement prepara l'escenari per a Cobalt Strike, un programari de simulació d'adversari legítim, que s'utilitza per descarregar i instal·lar ScreenConnect. Això permet als actors d'amenaça obtenir control remot sobre l'amfitrió.

Els atacants infecten els dispositius de la xarxa de la víctima i comprometen les dades sensibles

Després d'haver obtingut un accés complet al sistema, els actors de l'amenaça inicien l'adquisició de credencials i recullen informació crucial del sistema. Els ciberdelinqüents comencen a escanejar l'amfitrió de la víctima a la recerca de credencials emmagatzemades als fitxers i altres documents potencialment sensibles.

A més, els atacants pivoten a altres sistemes de la xarxa, inclòs el controlador de domini, i finalment infringeixen el domini de Windows de la víctima mitjançant l'establiment del seu propi compte d'administrador de domini.

Aquest alt nivell d'accés permet als actors amb mala ment l'entrada a qualsevol màquina connectada dins del domini. En última instància, aquest escenari representa el pitjor resultat per a qualsevol organització, ja que la persistència aconseguida pels atacants requereix molt temps i recursos per a la correcció.

Preneu mesures contra campanyes d'atac com FROZEN#SHADOW

El phishing segueix sent el principal mètode perquè els actors d'amenaces executin incompliments amb èxit, introdueixin programari maliciós i comprometin els sistemes interns. És fonamental que els usuaris de primera línia reconeguin aquestes amenaces i entenguin com identificar-les. Aneu amb compte amb els correus electrònics no sol·licitats, especialment aquells amb contingut inesperat o sentit d'urgència.

Pel que fa a la prevenció i la detecció, els investigadors suggereixen abstenir-se de descarregar fitxers o fitxers adjunts de fonts externes desconegudes, especialment si no són sol·licitats. Els tipus de fitxers habituals que s'utilitzen en atacs inclouen zip, rar, iso i pdf, amb fitxers zip que s'utilitzen notablement en aquesta campanya. A més, s'aconsella supervisar els directoris d'escenificació de programari maliciós orientats habitualment, especialment per a l'activitat relacionada amb scripts en directoris escrivibles.

Al llarg de les diferents fases de la campanya FROZEN#SHADOW, els actors de les amenaces van utilitzar canals xifrats al port 443 per evadir la detecció. Per tant, es recomana desplegar capacitats de registre de punts finals sòlides, inclòs l'aprofitament del registre addicional a nivell de procés per a una cobertura de detecció millorada.