SSLoad pahavara
Turvaanalüütikud on avastanud pideva küberrünnaku, kasutades andmepüügimeile, et levitada SSLoadina tuntud pahavara tüve. See kampaania, mille nimi on FROZEN#SHADOW, kasutab kaugjuurdepääsuks ConnectWise ScreenConnect'i kõrval Cobalt Strike'i .
SSLoadi peamine eesmärk on salajane imbumine, andmete väljafiltreerimine ja salasuhtlus oma juhtimiskeskusega. Rikkumise korral installib SSLoad mitmesuguseid tagauksi ja kasulikke koormusi, et tagada pikaajaline kohalolek ja vältida tuvastamist.
Sisukord
Küberkurjategijate kasutatavad erinevad nakkusvektorid
Rünnakutid hõlmavad Aasia, Euroopa ja Ameerika organisatsioonidele suunatud andmepüügisõnumite kasutamist. Need meilid sisaldavad linke, mis viivad JavaScripti failidesse, käivitades nakatumisprotsessi.
Teadlaste varasemad leiud toovad esile kaks erinevat SSLoadi levitamismeetodit. Üks meetod kasutab pahatahtlike URL-ide manustamiseks veebisaidi kontaktvorme, teine meetod aga makrotoega Microsoft Wordi dokumente. Eelkõige hõlbustab viimane meetod Cobalt Strike'i edastamist pahavara kaudu, samas kui esimene levitab teist pahavara varianti, mida tuntakse nimega Latrodectus , mis võib ollaIcedID järel.
Kuidas SSLoadi rünnak töötab?
Varjatud JavaScripti fail ('out_czlrh.js') käivitub faili wscript.exe kaudu, käivitades protsessi MSI installifaili ('slack.msi') hankimiseks võrgujagastusest aadressil '\wireoneinternet[.]info@80\share' . Pärast hankimist kasutab installija käivitamiseks faili msiexec.exe.
Seejärel loob MSI installer kontakti ründaja juhitava domeeniga, et hankida ja juurutada SSLoadi pahavara koormus rundll32.exe kaudu. Pärast seda saadab ohustatud süsteem signaale Command-and-Control (C2) serverisse, edastades teavet.
See esialgne luureetapp paneb aluse Cobalt Strike'ile, seaduslikule vastase simulatsioonitarkvarale, mida kasutatakse ScreenConnecti allalaadimiseks ja installimiseks. See võimaldab ohus osalejatel saada hosti üle kaugjuhtimise.
Ründajad nakatavad seadmeid kogu ohvri võrgus ja ohustavad tundlikke andmeid
Olles saanud täieliku juurdepääsu süsteemile, alustavad ohus osalejad mandaadi hankimist ja koguvad olulist süsteemiteavet. Küberkurjategijad alustavad ohvri hosti skannimist, et leida failides ja muudes potentsiaalselt tundlikes dokumentides talletatud mandaate.
Lisaks pöörduvad ründajad võrgus teistele süsteemidele, sealhulgas domeenikontrollerile, rikkudes lõpuks ohvri Windowsi domeeni, luues oma domeeni administraatori konto.
See kõrge juurdepääsutase võimaldab pahatahtlikel osalejatel siseneda domeeni mis tahes ühendatud masinasse. Lõppkokkuvõttes on see stsenaarium mis tahes organisatsiooni jaoks halvim tulemus, kuna ründajate saavutatud püsivus nõuab heastamise jaoks palju aega ja ressursse.
Võtke meetmeid selliste rünnakukampaaniate vastu nagu FROZEN#SHADOW
Andmepüük on ohus osalejate jaoks endiselt peamine meetod edukate rikkumiste sooritamiseks, pahavara sissetoomiseks ja sisesüsteemide kompromiteerimiseks. Eesliinikasutajate jaoks on ülioluline need ohud ära tunda ja mõista, kuidas neid tuvastada. Olge soovimatute meilidega ettevaatlik, eriti ootamatu sisuga või kiireloomulisusega.
Ennetamise ja tuvastamise osas soovitavad teadlased hoiduda failide või manuste allalaadimisest tundmatutest välisallikatest, eriti kui need on soovimatud. Rünnakutel kasutatavad tavalised failitüübid on zip, rar, iso ja pdf, kusjuures zip-faile kasutatakse selles kampaanias märkimisväärselt. Lisaks on soovitatav jälgida sageli sihitud pahavara katalooge, eriti skriptidega seotud tegevuse puhul kirjutatavates kataloogides.
Kampaania FROZEN#SHADOW erinevates etappides kasutasid ohutegijad avastamisest kõrvalehoidmiseks pordi 443 kaudu krüpteeritud kanaleid. Seetõttu on tungivalt soovitatav juurutada tugevad lõpp-punktide logimise võimalused, sealhulgas kasutada täiendavat protsessitaseme logimist, et parandada tuvastamise ulatust.
