SSLoad بدافزار

تحلیلگران امنیتی یک حمله سایبری مداوم را با استفاده از ایمیل های فیشینگ برای توزیع یک نوع بدافزار معروف به SSLoad کشف کرده اند. این کمپین با نام FROZEN#SHADOW از Cobalt Strike در کنار ConnectWise ScreenConnect برای دسترسی از راه دور دسکتاپ استفاده می کند.

هدف اصلی SSLoad نفوذ مخفیانه، استخراج داده ها و ارتباط مخفیانه با مرکز فرماندهی آن است. پس از نقض، SSLoad برای اطمینان از حضور طولانی مدت و فرار از شناسایی، درهای پشتی و بارهای مختلفی را نصب می کند.

ناقلین مختلف عفونت مورد استفاده مجرمان سایبری

زنجیره های حمله شامل استفاده از پیام های فیشینگ است که سازمان ها را در سراسر آسیا، اروپا و آمریکا هدف قرار می دهد. این ایمیل‌ها حاوی لینک‌هایی هستند که به فایل‌های جاوا اسکریپت منتهی می‌شوند و فرآیند عفونت را آغاز می‌کنند.

یافته های قبلی محققان دو روش توزیع متمایز را برای SSLoad برجسته می کند. یک روش از فرم های تماس وب سایت برای جاسازی URL های مخرب استفاده می کند، در حالی که روش دیگر از اسناد مایکروسافت ورد با قابلیت ماکرو فعال استفاده می کند. قابل توجه است که روش دوم تحویل Cobalt Strike را از طریق بدافزار تسهیل می‌کند، در حالی که روش اول یک نوع بدافزار دیگر به نام Latrodectus را توزیع می‌کند که احتمالاً جایگزینIcedID می‌شود.

حمله SSLoad چگونه عمل می کند؟

فایل جاوا اسکریپت مبهم ('out_czlrh.js') از طریق wscript.exe اجرا می شود و فرآیندی را برای بازیابی فایل نصب کننده MSI ('slack.msi') از اشتراک شبکه در '\wireoneinternet[.]info@80\share' آغاز می کند. . پس از به دست آوردن، نصب کننده از msiexec.exe برای اجرا استفاده می کند.

متعاقباً، نصب‌کننده MSI با دامنه‌ای که توسط مهاجم کنترل می‌شود تماس برقرار می‌کند تا بار بدافزار SSLoad را از طریق rundll32.exe به‌دست آورد و مستقر کند. به دنبال این، سیستم در معرض خطر، سیگنال هایی را به سرور Command-and-Control (C2) ارسال می کند و اطلاعات را ارسال می کند.

این مرحله شناسایی اولیه، زمینه را برای Cobalt Strike، یک نرم افزار شبیه سازی دشمن قانونی، که برای دانلود و نصب ScreenConnect استفاده می شود، آماده می کند. این به عوامل تهدید امکان می دهد تا کنترل از راه دور بر میزبان را به دست آورند.

مهاجمان دستگاه ها را در سراسر شبکه قربانی آلوده می کنند و داده های حساس را به خطر می اندازند

با به دست آوردن دسترسی کامل به سیستم، عوامل تهدید شروع به کسب اعتبار می کنند و اطلاعات مهم سیستم را جمع آوری می کنند. مجرمان سایبری شروع به اسکن میزبان قربانی برای اعتبارنامه های ذخیره شده در فایل ها و سایر اسناد بالقوه حساس می کنند.

علاوه بر این، مهاجمان به سیستم‌های دیگر درون شبکه، از جمله کنترل‌کننده دامنه، می‌روند و در نهایت با ایجاد حساب سرپرست دامنه خود، دامنه ویندوز قربانی را نقض می‌کنند.

این سطح دسترسی بالا به بازیگران بد فکر اجازه ورود به هر دستگاه متصل در دامنه را می دهد. در نهایت، این سناریو نشان دهنده بدترین نتیجه برای هر سازمانی است، زیرا تداوم به دست آمده توسط مهاجمان مستلزم زمان و منابع گسترده ای برای اصلاح است.

اقداماتی را در برابر کمپین های حمله ای مانند FROZEN#SHADOW اتخاذ کنید

فیشینگ همچنان بهترین روش برای عوامل تهدید برای اجرای موفقیت آمیز نفوذها، معرفی بدافزارها و به خطر انداختن سیستم های داخلی است. برای کاربران خط مقدم تشخیص این تهدیدها و درک نحوه شناسایی آنها بسیار مهم است. در مورد ایمیل های ناخواسته، به خصوص ایمیل هایی که محتوای غیرمنتظره دارند یا احساس فوریت دارند، احتیاط کنید.

از نظر پیشگیری و تشخیص، محققان پیشنهاد می‌کنند که از دانلود فایل‌ها یا پیوست‌ها از منابع خارجی ناشناخته، به‌ویژه اگر ناخواسته هستند، خودداری کنید. انواع فایل های رایج مورد استفاده در حملات عبارتند از zip، rar، iso و pdf که فایل های فشرده به طور قابل توجهی در این کمپین مورد استفاده قرار می گیرند. علاوه بر این، نظارت بر دایرکتوری‌های مرحله‌بندی بدافزار مورد هدف معمول، به ویژه برای فعالیت‌های مرتبط با اسکریپت در فهرست‌های قابل نوشتن توصیه می‌شود.

در طول مراحل مختلف کمپین FROZEN#SHADOW، عوامل تهدید از کانال های رمزگذاری شده روی پورت 443 برای فرار از شناسایی استفاده می کردند. از این رو، استقرار قابلیت‌های ثبت نقطه پایانی قوی، از جمله اعمال نفوذ ثبت گزارش اضافی در سطح فرآیند برای پوشش تشخیص پیشرفته، به شدت توصیه می‌شود.