SSLoad haittaohjelma

Tietoturva-analyytikot ovat löytäneet jatkuvan kyberhyökkäyksen käyttämällä tietojenkalasteluviestejä SSLoad-nimisen haittaohjelmakannan levittämiseen. Tämä kampanja, jonka nimi on FROZEN#SHADOW, käyttää Cobalt Strikea ConnectWise ScreenConnectin rinnalla etätyöpöytäkäyttöön.

SSLoadin ensisijainen tavoite on salainen tunkeutuminen, tietojen suodattaminen ja salaviestintä sen komentokeskuksen kanssa. Rikkomisen yhteydessä SSLoad asentaa erilaisia takaovia ja hyötykuormia varmistaakseen pitkäaikaisen läsnäolon ja välttääkseen havaitsemisen.

Kyberrikollisten käyttämät erilaiset infektiovektorit

Hyökkäysketjuissa käytetään phishing-viestejä, jotka on kohdistettu organisaatioihin Aasiassa, Euroopassa ja Amerikassa. Nämä sähköpostit sisältävät linkkejä, jotka johtavat JavaScript-tiedostoihin, jotka käynnistävät tartuntaprosessin.

Aiemmat tutkijoiden havainnot korostavat kahta erillistä jakelumenetelmää SSLoadille. Yksi menetelmä käyttää verkkosivustojen yhteydenottolomakkeita haitallisten URL-osoitteiden upottamiseen, kun taas toinen käyttää makroja tukevia Microsoft Word -asiakirjoja. Erityisesti jälkimmäinen menetelmä helpottaa Cobalt Striken toimittamista haittaohjelmien kautta, kun taas edellinen levittää toista haittaohjelmaversiota, joka tunnetaan nimellä Latrodectus ja joka mahdollisesti seuraaIcedID:tä .

Kuinka SSLoad-hyökkäys toimii?

Suojattu JavaScript-tiedosto ('out_czlrh.js') suoritetaan wscript.exe-tiedoston kautta ja käynnistää prosessin MSI-asennustiedoston ('slack.msi') hakemiseksi verkkojaosta osoitteessa '\wireoneinternet[.]info@80\share' . Kun asennusohjelma on hankittu, se käyttää msiexec.exe-tiedostoa suorittaakseen sen.

Tämän jälkeen MSI-asennusohjelma muodostaa yhteyden hyökkääjän hallitsemaan toimialueeseen hankkiakseen ja ottaakseen käyttöön SSLoad-haittaohjelman hyötykuorman rundll32.exe-tiedoston kautta. Tämän jälkeen vaarantunut järjestelmä lähettää signaaleja Command-and-Control (C2) -palvelimelle, joka välittää tietoa.

Tämä alkutiedusteluvaihe asettaa vaiheet Cobalt Strikelle, lailliselle vihollisen simulointiohjelmistolle, jota käytetään ScreenConnectin lataamiseen ja asentamiseen. Tämä mahdollistaa uhkatekijöiden etähallinnan isännässä.

Hyökkääjät tartuttavat laitteita uhrin verkossa ja vaarantavat arkaluonteiset tiedot

Saatuaan täydellisen järjestelmän käyttöoikeuden uhkatoimijat aloittavat valtuustietojen hankinnan ja keräävät tärkeitä järjestelmätietoja. Verkkorikolliset alkavat etsiä uhripalvelimelta tiedostoihin ja muihin mahdollisesti arkaluontoisiin asiakirjoihin tallennettuja tunnistetietoja.

Lisäksi hyökkääjät kääntyvät muihin verkon järjestelmiin, mukaan lukien toimialueen ohjain, murtaen lopulta uhrin Windows-toimialueen perustamalla oman toimialueen järjestelmänvalvojan tilinsä.

Tämä korkea käyttöoikeustaso antaa pahantahtoisille toimijoille pääsyn mihin tahansa verkkotunnuksen kytkettyyn koneeseen. Viime kädessä tämä skenaario edustaa pahimman mahdollisen lopputulosta mille tahansa organisaatiolle, koska hyökkääjien saavuttama sinnikkyys vaatii paljon aikaa ja resursseja korjaamiseen.

Ryhdy toimenpiteisiin hyökkäyskampanjoita, kuten FROZEN#SHADOW, vastaan

Tietojenkalastelu on edelleen paras tapa uhkatekijöille toteuttaa onnistuneita tietomurtoja, tuoda mukanaan haittaohjelmia ja vaarantaa sisäisiä järjestelmiä. On erittäin tärkeää, että etulinjan käyttäjät tunnistavat nämä uhat ja ymmärtävät, miten ne voidaan tunnistaa. Ole varovainen ei-toivottujen sähköpostien kanssa, erityisesti sellaisten, joissa on odottamatonta sisältöä tai kiireellisyyttä.

Ennaltaehkäisyn ja havaitsemisen osalta tutkijat ehdottavat, että pidättäydyt lataamasta tiedostoja tai liitteitä tuntemattomista ulkoisista lähteistä, varsinkin jos ne ovat ei-toivottuja. Yleisiä hyökkäyksissä käytettyjä tiedostotyyppejä ovat zip, rar, iso ja pdf, ja zip-tiedostoja hyödynnetään erityisesti tässä kampanjassa. Lisäksi on suositeltavaa seurata yleisesti kohdistettuja haittaohjelmien välityshakemistoja, erityisesti komentosarjaan liittyvän toiminnan osalta kirjoitettavissa hakemistoissa.

FROZEN#SHADOW-kampanjan eri vaiheiden aikana uhkatoimijat käyttivät salattuja kanavia portin 443 kautta välttääkseen havaitsemisen. Tästä syystä on erittäin suositeltavaa ottaa käyttöön vankat päätepisteiden kirjaamisominaisuudet, mukaan lukien lisäprosessitason lokikirjauksen hyödyntäminen tunnistuspeiton parantamiseksi.