SSLoad Malware

Οι αναλυτές ασφαλείας ανακάλυψαν μια επίμονη επίθεση στον κυβερνοχώρο χρησιμοποιώντας μηνύματα ηλεκτρονικού ψαρέματος για τη διανομή ενός στελέχους κακόβουλου λογισμικού γνωστό ως SSLoad. Με την ονομασία FROZEN#SHADOW, αυτή η καμπάνια χρησιμοποιεί το Cobalt Strike μαζί με το ConnectWise ScreenConnect για απομακρυσμένη πρόσβαση στην επιφάνεια εργασίας.

Ο πρωταρχικός στόχος του SSLoad είναι η μυστική διείσδυση, η διήθηση δεδομένων και η κρυφή επικοινωνία με το κέντρο εντολών του. Σε περίπτωση παραβίασης, το SSLoad εγκαθιστά διάφορες κερκόπορτες και ωφέλιμα φορτία για να εξασφαλίσει μακροχρόνια παρουσία και να αποφύγει τον εντοπισμό.

Οι διαφορετικοί φορείς μόλυνσης που χρησιμοποιούνται από εγκληματίες στον κυβερνοχώρο

Οι αλυσίδες επιθέσεων περιλαμβάνουν τη χρήση μηνυμάτων phishing που στοχεύουν οργανισμούς σε όλη την Ασία, την Ευρώπη και την Αμερική. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν συνδέσμους που οδηγούν σε αρχεία JavaScript, ξεκινώντας τη διαδικασία μόλυνσης.

Προηγούμενα ευρήματα από ερευνητές τονίζουν δύο διαφορετικές μεθόδους διανομής για το SSLoad. Η μία μέθοδος χρησιμοποιεί φόρμες επικοινωνίας ιστότοπου για την ενσωμάτωση κακόβουλων διευθύνσεων URL, ενώ η άλλη χρησιμοποιεί έγγραφα του Microsoft Word με δυνατότητα μακροεντολής. Συγκεκριμένα, η τελευταία μέθοδος διευκολύνει την παράδοση του Cobalt Strike μέσω κακόβουλου λογισμικού, ενώ η πρώτη διανέμει μια άλλη παραλλαγή κακόβουλου λογισμικού γνωστή ως Latrodectus , πιθανώς να διαδέχεταιτο IcedID .

Πώς λειτουργεί η επίθεση SSLoad;

Το ασαφές αρχείο JavaScript ('out_czlrh.js') εκτελείται μέσω του wscript.exe, ξεκινώντας μια διαδικασία για την ανάκτηση ενός αρχείου εγκατάστασης MSI ('slack.msi') από ένα κοινόχρηστο στοιχείο δικτύου στο '\wireoneinternet[.]info@80\share' . Μόλις αποκτηθεί, το πρόγραμμα εγκατάστασης χρησιμοποιεί το msiexec.exe για εκτέλεση.

Στη συνέχεια, το πρόγραμμα εγκατάστασης MSI δημιουργεί επαφή με έναν τομέα που ελέγχεται από τον εισβολέα για την απόκτηση και την ανάπτυξη του ωφέλιμου φορτίου κακόβουλου λογισμικού SSLoad μέσω του rundll32.exe. Μετά από αυτό, το παραβιασμένο σύστημα στέλνει σήματα σε έναν διακομιστή Command-and-Control (C2), μεταδίδοντας πληροφορίες.

Αυτό το αρχικό στάδιο αναγνώρισης θέτει τις βάσεις για το Cobalt Strike, ένα νόμιμο λογισμικό προσομοίωσης αντιπάλου, το οποίο χρησιμοποιείται για τη λήψη και εγκατάσταση του ScreenConnect. Αυτό επιτρέπει στους φορείς απειλών να αποκτήσουν απομακρυσμένο έλεγχο του κεντρικού υπολογιστή.

Οι εισβολείς μολύνουν συσκευές σε όλο το δίκτυο του θύματος και διακυβεύουν ευαίσθητα δεδομένα

Έχοντας αποκτήσει πλήρη πρόσβαση στο σύστημα, οι φορείς απειλών ξεκινούν την απόκτηση διαπιστευτηρίων και συλλέγουν κρίσιμες πληροφορίες συστήματος. Οι εγκληματίες του κυβερνοχώρου αρχίζουν να σαρώνουν τον κεντρικό υπολογιστή-θύμα για αποθηκευμένα διαπιστευτήρια σε αρχεία και άλλα δυνητικά ευαίσθητα έγγραφα.

Επιπλέον, οι εισβολείς στρέφονται σε άλλα συστήματα εντός του δικτύου, συμπεριλαμβανομένου του ελεγκτή τομέα, παραβιάζοντας τελικά τον τομέα των Windows του θύματος δημιουργώντας τον δικό τους λογαριασμό διαχειριστή τομέα.

Αυτό το υψηλό επίπεδο πρόσβασης επιτρέπει σε κακοπροαίρετους ηθοποιούς την είσοδο σε οποιοδήποτε συνδεδεμένο μηχάνημα εντός του τομέα. Τελικά, αυτό το σενάριο αντιπροσωπεύει το χειρότερο αποτέλεσμα για οποιονδήποτε οργανισμό, καθώς η επιμονή που επιτυγχάνεται από τους εισβολείς απαιτεί εκτεταμένο χρόνο και πόρους για αποκατάσταση.

Λάβετε μέτρα ενάντια σε εκστρατείες επίθεσης όπως το FROZEN#SHADOW

Το ηλεκτρονικό ψάρεμα (phishing) παραμένει η κορυφαία μέθοδος για τους φορείς απειλών για την εκτέλεση επιτυχών παραβιάσεων, την εισαγωγή κακόβουλου λογισμικού και την παραβίαση των εσωτερικών συστημάτων. Είναι σημαντικό για τους χρήστες πρώτης γραμμής να αναγνωρίζουν αυτές τις απειλές και να κατανοούν πώς να τις αναγνωρίζουν. Να είστε προσεκτικοί με τα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου, ειδικά αυτά με απροσδόκητο περιεχόμενο ή την αίσθηση του επείγοντος.

Όσον αφορά την πρόληψη και την ανίχνευση, οι ερευνητές προτείνουν να αποφεύγετε τη λήψη αρχείων ή συνημμένων από άγνωστες εξωτερικές πηγές, ιδιαίτερα εάν είναι αυτόκλητα. Οι συνήθεις τύποι αρχείων που χρησιμοποιούνται σε επιθέσεις περιλαμβάνουν zip, rar, iso και pdf, με αρχεία zip που χρησιμοποιούνται κυρίως σε αυτήν την καμπάνια. Επιπλέον, συνιστάται η παρακολούθηση κοινώς στοχευμένων καταλόγων σταδιοποίησης κακόβουλου λογισμικού, ειδικά για δραστηριότητα που σχετίζεται με σενάρια σε καταλόγους με δυνατότητα εγγραφής.

Σε διάφορες φάσεις της εκστρατείας FROZEN#SHADOW, οι φορείς απειλών χρησιμοποίησαν κρυπτογραφημένα κανάλια στη θύρα 443 για να αποφύγουν τον εντοπισμό. Ως εκ τούτου, συνιστάται ανεπιφύλακτα η ανάπτυξη ισχυρών δυνατοτήτων καταγραφής τελικού σημείου, συμπεριλαμβανομένης της μόχλευσης πρόσθετης καταγραφής σε επίπεδο διαδικασίας για βελτιωμένη κάλυψη ανίχνευσης.