SSLoad मैलवेयर

सुरक्षा विश्लेषकों ने SSLoad नामक मैलवेयर स्ट्रेन को वितरित करने के लिए फ़िशिंग ईमेल का उपयोग करके लगातार साइबर हमले का पता लगाया है। FROZEN#SHADOW नामक यह अभियान रिमोट डेस्कटॉप एक्सेस के लिए कनेक्टवाइज़ स्क्रीनकनेक्ट के साथ कोबाल्ट स्ट्राइक का उपयोग करता है।

SSLoad का प्राथमिक उद्देश्य गुप्त घुसपैठ, डेटा एक्सफ़िलट्रेशन और अपने कमांड सेंटर के साथ गुप्त संचार करना है। उल्लंघन होने पर, SSLoad दीर्घकालिक उपस्थिति सुनिश्चित करने और पता लगाने से बचने के लिए विभिन्न बैकडोर और पेलोड स्थापित करता है।

साइबर अपराधियों द्वारा उपयोग किए जाने वाले विभिन्न संक्रमण वेक्टर

हमले की श्रृंखला में एशिया, यूरोप और अमेरिका में संगठनों को लक्षित करने वाले फ़िशिंग संदेशों का उपयोग शामिल है। इन ईमेल में जावास्क्रिप्ट फ़ाइलों की ओर ले जाने वाले लिंक होते हैं, जो संक्रमण प्रक्रिया शुरू करते हैं।

शोधकर्ताओं के पिछले निष्कर्षों ने SSLoad के लिए दो अलग-अलग वितरण विधियों को उजागर किया है। एक विधि दुर्भावनापूर्ण URL एम्बेड करने के लिए वेबसाइट संपर्क फ़ॉर्म का उपयोग करती है, जबकि दूसरी मैक्रो-सक्षम Microsoft Word दस्तावेज़ों का उपयोग करती है। उल्लेखनीय रूप से, बाद वाली विधि मैलवेयर के माध्यम से कोबाल्ट स्ट्राइक की डिलीवरी की सुविधा प्रदान करती है, जबकि पहली विधि लैट्रोडेक्टस नामक एक अन्य मैलवेयर वैरिएंट वितरित करती है, जो संभवतःआइस्डआईडी का उत्तराधिकारी है।

SSLoad हमला कैसे संचालित होता है?

अस्पष्ट जावास्क्रिप्ट फ़ाइल ('out_czlrh.js') wscript.exe के माध्यम से निष्पादित होती है, जो '\wireoneinternet[.]info@80\share' पर नेटवर्क शेयर से MSI इंस्टॉलर फ़ाइल ('slack.msi') को पुनः प्राप्त करने की प्रक्रिया शुरू करती है। एक बार प्राप्त होने के बाद, इंस्टॉलर चलाने के लिए msiexec.exe का उपयोग करता है।

इसके बाद, MSI इंस्टॉलर हमलावर द्वारा नियंत्रित डोमेन के साथ संपर्क स्थापित करता है ताकि rundll32.exe के माध्यम से SSLoad मैलवेयर पेलोड को प्राप्त और तैनात किया जा सके। इसके बाद, समझौता किया गया सिस्टम कमांड-एंड-कंट्रोल (C2) सर्वर को सिग्नल भेजता है, जिससे सूचना प्रसारित होती है।

यह प्रारंभिक टोही चरण कोबाल्ट स्ट्राइक के लिए मंच तैयार करता है, जो एक वैध विरोधी सिमुलेशन सॉफ्टवेयर है, जिसका उपयोग स्क्रीनकनेक्ट को डाउनलोड और इंस्टॉल करने के लिए किया जाता है। यह खतरे वाले अभिनेताओं को होस्ट पर रिमोट कंट्रोल हासिल करने में सक्षम बनाता है।

हमलावर पीड़ित के नेटवर्क में मौजूद डिवाइस को संक्रमित कर देते हैं और संवेदनशील डेटा से समझौता कर लेते हैं

संपूर्ण सिस्टम एक्सेस प्राप्त करने के बाद, खतरा पैदा करने वाले लोग क्रेडेंशियल प्राप्त करना शुरू कर देते हैं और महत्वपूर्ण सिस्टम जानकारी इकट्ठा कर लेते हैं। साइबर अपराधी पीड़ित होस्ट की फाइलों और अन्य संभावित संवेदनशील दस्तावेजों में संग्रहीत क्रेडेंशियल के लिए स्कैनिंग शुरू कर देते हैं।

इसके अलावा, हमलावर नेटवर्क के भीतर अन्य प्रणालियों पर भी अपना ध्यान केंद्रित करते हैं, जिसमें डोमेन नियंत्रक भी शामिल है, और अंततः अपना स्वयं का डोमेन प्रशासक खाता स्थापित करके पीड़ित के विंडोज डोमेन का उल्लंघन करते हैं।

पहुँच का यह उच्च स्तर दुर्भावनापूर्ण अभिनेताओं को डोमेन के भीतर किसी भी कनेक्टेड मशीन तक प्रवेश प्रदान करता है। अंततः, यह परिदृश्य किसी भी संगठन के लिए सबसे खराब स्थिति का प्रतिनिधित्व करता है, क्योंकि हमलावरों द्वारा हासिल की गई दृढ़ता के लिए उपचार के लिए व्यापक समय और संसाधनों की आवश्यकता होती है।

FROZEN#SHADOW जैसे आक्रमण अभियानों के विरुद्ध कदम उठाएँ

फ़िशिंग, ख़तरनाक तत्वों के लिए सफल उल्लंघन करने, मैलवेयर पेश करने और आंतरिक सिस्टम से समझौता करने का शीर्ष तरीका बना हुआ है। फ्रंटलाइन उपयोगकर्ताओं के लिए इन ख़तरों को पहचानना और उन्हें पहचानना समझना महत्वपूर्ण है। अनचाहे ईमेल के साथ सावधानी बरतें, खासकर उन ईमेल के साथ जिनमें अप्रत्याशित सामग्री या अत्यावश्यकता की भावना हो।

रोकथाम और पता लगाने के मामले में, शोधकर्ता अज्ञात बाहरी स्रोतों से फ़ाइलें या अनुलग्नक डाउनलोड करने से परहेज़ करने का सुझाव देते हैं, खासकर अगर वे अनचाहे हों। हमलों में इस्तेमाल की जाने वाली आम फ़ाइल प्रकारों में ज़िप, रार, आईएसओ और पीडीएफ शामिल हैं, इस अभियान में ज़िप फ़ाइलों का विशेष रूप से उपयोग किया गया है। इसके अतिरिक्त, आम तौर पर लक्षित मैलवेयर स्टेजिंग निर्देशिकाओं की निगरानी करने की सलाह दी जाती है, खासकर लिखने योग्य निर्देशिकाओं में स्क्रिप्ट से संबंधित गतिविधि के लिए।

FROZEN#SHADOW अभियान के विभिन्न चरणों के दौरान, खतरे वाले अभिनेताओं ने पता लगाने से बचने के लिए पोर्ट 443 पर एन्क्रिप्टेड चैनलों का उपयोग किया। इसलिए, मजबूत एंडपॉइंट लॉगिंग क्षमताओं को तैनात करने की दृढ़ता से अनुशंसा की जाती है, जिसमें बढ़ी हुई पहचान कवरेज के लिए अतिरिक्त प्रक्रिया-स्तरीय लॉगिंग का लाभ उठाना शामिल है।