SLoad Malware

Sikkerhedsanalytikere har afsløret et vedvarende cyberangreb ved at bruge phishing-e-mails til at distribuere en malware-stamme kendt som SSLoad. Denne kampagne kaldet FROZEN#SHADOW anvender Cobalt Strike sammen med ConnectWise ScreenConnect til fjernadgang til skrivebordet.

SSLoads primære mål er hemmelig infiltration, dataeksfiltrering og skjult kommunikation med dets kommandocenter. Ved brud installerer SSLoad forskellige bagdøre og nyttelaster for at sikre langsigtet tilstedeværelse og undgå registrering.

De forskellige infektionsvektorer, der bruges af cyberkriminelle

Angrebskæder involverer brugen af phishing-beskeder rettet mod organisationer på tværs af Asien, Europa og Amerika. Disse e-mails indeholder links, der fører til JavaScript-filer, der starter infektionsprocessen.

Tidligere resultater fra forskere fremhæver to forskellige distributionsmetoder for SSLoad. Den ene metode bruger webstedskontaktformularer til at indlejre ondsindede URL'er, mens den anden anvender makroaktiverede Microsoft Word-dokumenter. Sidstnævnte metode letter især leveringen af Cobalt Strike via malware, mens førstnævnte distribuerer en anden malware-variant kendt som Latrodectus , der potentielt efterfølgerIcedID .

Hvordan fungerer SSLoad-angrebet?

Den tilslørede JavaScript-fil ('out_czlrh.js') udføres gennem wscript.exe og initierer en proces til at hente en MSI-installationsfil ('slack.msi') fra en netværksshare på '\wireoneinternet[.]info@80\share' . Når det er opnået, bruger installationsprogrammet msiexec.exe til at køre.

Efterfølgende etablerer MSI-installationsprogrammet kontakt med et domæne, der kontrolleres af angriberen, for at erhverve og implementere SSLoad malware-nyttelasten via rundll32.exe. Efter dette sender det kompromitterede system signaler til en Command-and-Control-server (C2), der transmitterer information.

Denne indledende rekognosceringsfase sætter scenen for Cobalt Strike, en legitim modstanders simuleringssoftware, som bruges til at downloade og installere ScreenConnect. Dette gør det muligt for trusselsaktører at få fjernkontrol over værten.

Angribere inficerer enheder på tværs af offerets netværk og kompromitterer følsomme data

Efter at have opnået fuldstændig systemadgang, igangsætter trusselsaktørerne indhentning af legitimationsoplysninger og indsamler afgørende systeminformation. Cyberkriminelle begynder at scanne offerets vært for gemte legitimationsoplysninger i filer og andre potentielt følsomme dokumenter.

Ydermere pivoterer angriberne til andre systemer på netværket, inklusive domænecontrolleren, hvilket i sidste ende bryder offerets Windows-domæne ved at etablere deres egen domæneadministratorkonto.

Dette høje adgangsniveau giver dårligt sindede skuespillere adgang til enhver tilsluttet maskine inden for domænet. I sidste ende repræsenterer dette scenarie det værst tænkelige resultat for enhver organisation, da den vedholdenhed, som angriberne opnår, kræver omfattende tid og ressourcer til afhjælpning.

Tag foranstaltninger mod angrebskampagner som FROZEN#SHADOW

Phishing er fortsat den bedste metode for trusselsaktører til at udføre vellykkede brud, introducere malware og kompromittere interne systemer. Det er afgørende for frontlinebrugere at genkende disse trusler og forstå, hvordan de identificeres. Udvis forsigtighed med uopfordrede e-mails, især dem med uventet indhold eller en følelse af, at det haster.

Med hensyn til forebyggelse og afsløring foreslår forskere, at man afstår fra at downloade filer eller vedhæftede filer fra ukendte eksterne kilder, især hvis de er uopfordrede. Almindelige filtyper, der bruges i angreb, inkluderer zip, rar, iso og pdf, med zip-filer især brugt i denne kampagne. Derudover anbefales det at overvåge almindeligt målrettede malware-iscenesættelsesmapper, især for script-relateret aktivitet i skrivbare mapper.

Gennem forskellige faser af FROZEN#SHADOW-kampagnen brugte trusselsaktører krypterede kanaler over port 443 for at undgå opdagelse. Derfor anbefales det på det kraftigste at implementere robuste endpoint-logningsfunktioner, herunder udnyttelse af yderligere logning på procesniveau til forbedret detektionsdækning.