תוכנה זדונית SLoad
מנתחי אבטחה חשפו מתקפת סייבר מתמשכת תוך שימוש בדוא"ל דיוג כדי להפיץ זן תוכנה זדונית המכונה SSLoad. מסע פרסום זה מכונה FROZEN#SHADOW משתמש ב- Cobalt Strike לצד ConnectWise ScreenConnect לגישה מרחוק לשולחן העבודה.
המטרה העיקרית של SSLoad היא הסתננות חשאית, חילוץ נתונים ותקשורת חשאית עם מרכז הפיקוד שלה. לאחר פריצה, SSLoad מתקין דלתות אחוריות ומטענים שונים כדי להבטיח נוכחות ארוכת טווח ולהתחמק מזיהוי.
תוכן העניינים
וקטורי הזיהום השונים בשימוש על ידי פושעי סייבר
רשתות תקיפה כוללות שימוש בהודעות דיוג המכוונות לארגונים ברחבי אסיה, אירופה ואמריקה. הודעות דוא"ל אלה מכילות קישורים המובילים לקובצי JavaScript, שמתחילים את תהליך ההדבקה.
ממצאים קודמים של חוקרים מדגישים שתי שיטות הפצה שונות עבור SSLoad. שיטה אחת משתמשת בטפסי יצירת קשר עם אתרים כדי להטמיע כתובות URL זדוניות, בעוד שהשנייה משתמשת במסמכי Microsoft Word התומכים במאקרו. יש לציין, השיטה האחרונה מקלה על אספקת Cobalt Strike באמצעות תוכנות זדוניות, בעוד שהראשונה מפיצה גרסה נוספת של תוכנות זדוניות הידועות בשם Latrodectus , שעשויה לחלוף עלIcedID .
כיצד פועלת מתקפת ה-SSLoad?
קובץ ה-JavaScript המעורפל ('out_czlrh.js') מופעל דרך wscript.exe, ומתחיל תהליך לאחזור קובץ התקנת MSI ('slack.msi') משיתוף רשת בכתובת '\wireoneinternet[.]info@80\share' . לאחר השגה, תוכנית ההתקנה משתמשת ב- msiexec.exe כדי להפעיל.
לאחר מכן, מתקין ה-MSI יוצר קשר עם תחום הנשלט על ידי התוקף כדי לרכוש ולפרוס את מטען התוכנה הזדונית SSLoad באמצעות rundll32.exe. בעקבות זאת, המערכת שנפרצה שולחת אותות לשרת Command-and-Control (C2), ומשדרת מידע.
שלב הסיור הראשוני הזה מכין את הבמה ל-Cobalt Strike, תוכנת הדמיית יריב לגיטימית, המופעלת כדי להוריד ולהתקין את ScreenConnect. זה מאפשר לשחקני איומים להשיג שליטה מרחוק על המארח.
תוקפים מדביקים מכשירים ברחבי הרשת של הקורבן ומתפשרים על נתונים רגישים
לאחר שהשיג גישה מלאה למערכת, גורמי האיום יוזמים רכישת אישורים ואוספים מידע מערכת חיוני. פושעי סייבר מתחילים לסרוק את המארח של הקורבן לאיתור אישורים מאוחסנים בתוך קבצים ומסמכים אחרים שעלולים להיות רגישים.
יתר על כן, התוקפים פונים למערכות אחרות ברשת, כולל בקר התחום, ובסופו של דבר פורצים את תחום ה-Windows של הקורבן על ידי הקמת חשבון מנהל תחום משלהם.
רמת גישה גבוהה זו מעניקה לשחקנים חסרי אופקים כניסה לכל מכונה מחוברת בדומיין. בסופו של דבר, תרחיש זה מייצג את התוצאה הגרועה ביותר עבור כל ארגון, שכן ההתמדה שהושגו על ידי התוקפים מחייבת זמן ומשאבים רבים לתיקון.
נקוט צעדים נגד מסעות תקיפה כמו FROZEN#SHADOW
פישינג נותרה השיטה המובילה עבור גורמי איומים לבצע הפרות מוצלחות, הצגת תוכנות זדוניות ופגיעה במערכות פנימיות. זה קריטי עבור משתמשי קו חזית לזהות את האיומים הללו ולהבין כיצד לזהות אותם. היזהר עם אימיילים לא רצויים, במיוחד כאלו עם תוכן בלתי צפוי או תחושת דחיפות.
מבחינת מניעה ואיתור, החוקרים מציעים להימנע מהורדת קבצים או קבצים מצורפים ממקורות חיצוניים לא ידועים, במיוחד אם הם לא רצויים. סוגי קבצים נפוצים המשמשים בהתקפות כוללים zip, rar, iso ו-pdf, כאשר קבצי zip משמשים במיוחד בקמפיין זה. בנוסף, מומלץ לעקוב אחר ספריות בימוי תוכנות זדוניות ממוקדות, במיוחד עבור פעילות הקשורה לסקריפט בספריות הניתנות לכתיבה.
לאורך שלבים שונים של מסע הפרסום FROZEN#SHADOW, גורמי איומים השתמשו בערוצים מוצפנים מעל יציאה 443 כדי להתחמק מזיהוי. לפיכך, מומלץ מאוד לפרוס יכולות רישום חזקות של נקודות קצה, כולל מינוף רישום נוסף ברמת התהליך לכיסוי זיהוי משופר.
