SSLoad Malware
Bezpečnostní analytici odhalili přetrvávající kybernetický útok pomocí phishingových e-mailů k distribuci malwarového kmene známého jako SSLoad. Tato kampaň s názvem FROZEN#SHADOW využívá Cobalt Strike spolu s ConnectWise ScreenConnect pro vzdálený přístup k ploše.
Primárním cílem SSLoad je tajná infiltrace, exfiltrace dat a skrytá komunikace s jeho velitelským centrem. Při porušení SSLoad nainstaluje různá zadní vrátka a užitečné zatížení, aby zajistila dlouhodobou přítomnost a vyhnula se detekci.
Obsah
Různé infekční vektory využívané kyberzločinci
Útočné řetězce zahrnují využívání phishingových zpráv zaměřených na organizace v Asii, Evropě a Americe. Tyto e-maily obsahují odkazy vedoucí na soubory JavaScript, které iniciují proces infekce.
Předchozí zjištění výzkumníků zdůrazňují dvě odlišné distribuční metody pro SSLoad. Jedna metoda využívá kontaktních formulářů webových stránek k vkládání škodlivých adres URL, zatímco druhá využívá dokumenty Microsoft Word s podporou maker. Je pozoruhodné, že druhá metoda usnadňuje doručení Cobalt Strike prostřednictvím malwaru, zatímco první metoda distribuuje jinou variantu malwaru známou jako Latrodectus , která může být nástupcemIcedID .
Jak funguje SSLoad Attack?
Skrytý soubor JavaScript ('out_czlrh.js') se spustí prostřednictvím wscript.exe a zahájí proces načtení instalačního souboru MSI ('slack.msi') ze sdílené síťové složky na adrese '\wireoneinternet[.]info@80\share' . Po získání instalační program použije ke spuštění msiexec.exe.
Následně instalační program MSI naváže kontakt s doménou ovládanou útočníkem za účelem získání a nasazení malwaru SSLoad prostřednictvím rundll32.exe. Poté kompromitovaný systém odešle signály na server Command-and-Control (C2) a přenese informace.
Tato počáteční fáze průzkumu připravuje půdu pro Cobalt Strike, legitimní simulační software protivníka, který se používá ke stažení a instalaci ScreenConnect. To umožňuje aktérům hrozby získat vzdálenou kontrolu nad hostitelem.
Útočníci infikují zařízení v síti oběti a kompromitují citlivá data
Po získání úplného přístupu k systému zahájí aktéři hrozby získávání pověření a shromažďují důležité systémové informace. Kyberzločinci začnou prohledávat hostitele oběti a hledat uložené přihlašovací údaje v souborech a dalších potenciálně citlivých dokumentech.
Kromě toho se útočníci obracejí na jiné systémy v síti, včetně řadiče domény, a nakonec naruší doménu Windows oběti založením vlastního účtu správce domény.
Tato vysoká úroveň přístupu umožňuje špatně smýšlejícím hercům přístup k jakémukoli připojenému počítači v doméně. Tento scénář v konečném důsledku představuje nejhorší možný výsledek pro jakoukoli organizaci, protože vytrvalost, kterou útočníci dosáhli, vyžaduje rozsáhlý čas a zdroje na nápravu.
Přijměte opatření proti útočným kampaním jako FROZEN#SHADOW
Phishing zůstává nejlepší metodou pro aktéry hrozeb k provedení úspěšných narušení, zavádění malwaru a kompromitování interních systémů. Pro uživatele v první linii je důležité, aby tyto hrozby rozpoznali a pochopili, jak je identifikovat. Buďte opatrní u nevyžádaných e-mailů, zejména u těch s neočekávaným obsahem nebo pocitem naléhavosti.
Pokud jde o prevenci a detekci, výzkumníci navrhují zdržet se stahování souborů nebo příloh z neznámých externích zdrojů, zejména pokud jsou nevyžádané. Mezi běžné typy souborů používané při útocích patří zip, rar, iso a pdf, přičemž v této kampani byly použity zejména soubory zip. Kromě toho se doporučuje monitorovat běžně zacílené adresáře s malwarem, zejména pro aktivity související se skripty v zapisovatelných adresářích.
V různých fázích kampaně FROZEN#SHADOW využívali aktéři hrozeb šifrované kanály přes port 443, aby se vyhnuli detekci. Proto se důrazně doporučuje nasazení robustních funkcí protokolování koncových bodů, včetně využití dodatečného protokolování na úrovni procesu pro lepší pokrytí detekcí.
