SSLoad Malware
Sigurnosni analitičari otkrili su uporni kibernetički napad korištenjem phishing e-pošte za distribuciju zlonamjernog softvera poznatog kao SSLoad. Nazvana FROZEN#SHADOW, ova kampanja koristi Cobalt Strike uz ConnectWise ScreenConnect za udaljeni pristup radnoj površini.
Primarni cilj SSLoad-a je tajna infiltracija, eksfiltracija podataka i tajna komunikacija s njegovim zapovjednim centrom. Nakon kršenja, SSLoad instalira različite backdoorove i korisne podatke kako bi osigurao dugoročnu prisutnost i izbjegao otkrivanje.
Sadržaj
Različiti vektori infekcije koje koriste kibernetički kriminalci
Lanci napada uključuju korištenje phishing poruka usmjerenih na organizacije diljem Azije, Europe i Amerike. Ove poruke e-pošte sadrže poveznice koje vode do JavaScript datoteka, čime se pokreće proces infekcije.
Prethodna otkrića istraživača ističu dvije različite metode distribucije za SSLoad. Jedna metoda koristi obrasce za kontakt web stranice za ugrađivanje zlonamjernih URL-ova, dok druga koristi dokumente Microsoft Worda s omogućenim makronaredbama. Naime, potonja metoda olakšava isporuku Cobalt Strikea putem zlonamjernog softvera, dok prva distribuira drugu varijantu zlonamjernog softvera poznatu kao Latrodectus , potencijalno nasljeđujućiIcedID .
Kako funkcionira SSLoad napad?
Zatamnjena JavaScript datoteka ('out_czlrh.js') izvršava se kroz wscript.exe, pokrećući proces za dohvaćanje MSI instalacijske datoteke ('slack.msi') s mrežnog dijeljenja na '\wireoneinternet[.]info@80\share' . Nakon dobivanja, instalacijski program za pokretanje koristi msiexec.exe.
Nakon toga, MSI instalacijski program uspostavlja kontakt s domenom koju kontrolira napadač kako bi stekao i implementirao sadržaj zlonamjernog softvera SSLoad putem rundll32.exe. Nakon toga, ugroženi sustav šalje signale Command-and-Control (C2) poslužitelju, prenoseći informacije.
Ova početna faza izviđanja postavlja pozornicu za Cobalt Strike, legitimni softver za simulaciju protivnika, koji se koristi za preuzimanje i instaliranje ScreenConnecta. Ovo akterima prijetnji omogućuje daljinsko upravljanje nad hostom.
Napadači inficiraju uređaje diljem mreže žrtve i ugrožavaju osjetljive podatke
Nakon što su dobili potpuni pristup sustavu, akteri prijetnje započinju prikupljanje vjerodajnica i prikupljaju ključne informacije o sustavu. Cyberkriminalci započinju skeniranje žrtvinog računala tražeći pohranjene vjerodajnice unutar datoteka i drugih potencijalno osjetljivih dokumenata.
Nadalje, napadači se usmjeravaju na druge sustave unutar mreže, uključujući kontroler domene, u konačnici probijući žrtvinu Windows domenu uspostavljajući vlastiti račun administratora domene.
Ova visoka razina pristupa dozvoljava zlonamjernim akterima pristup bilo kojem povezanom računalu unutar domene. U konačnici, ovaj scenarij predstavlja najgori mogući ishod za bilo koju organizaciju, budući da upornost koju su postigli napadači zahtijeva puno vremena i resursa za sanaciju.
Poduzmite mjere protiv napadačkih kampanja poput FROZEN#SHADOW
Phishing ostaje najbolja metoda za aktere prijetnji za izvođenje uspješnih proboja, uvođenje zlonamjernog softvera i ugrožavanje internih sustava. Ključno je da prvi korisnici prepoznaju ove prijetnje i razumiju kako ih identificirati. Budite oprezni s neželjenom e-poštom, osobito s onom neočekivanog sadržaja ili s osjećajem hitnosti.
Što se tiče prevencije i otkrivanja, istraživači predlažu suzdržavanje od preuzimanja datoteka ili privitaka iz nepoznatih vanjskih izvora, osobito ako su neželjeni. Uobičajene vrste datoteka koje se koriste u napadima uključuju zip, rar, iso i pdf, a zip datoteke se posebno koriste u ovoj kampanji. Osim toga, savjetuje se praćenje često ciljanih direktorija za postavljanje zlonamjernog softvera, posebno za aktivnosti povezane sa skriptama u direktorijima u koje je moguće pisati.
Kroz različite faze kampanje FROZEN#SHADOW akteri prijetnji koristili su šifrirane kanale preko porta 443 kako bi izbjegli otkrivanje. Stoga se snažno preporučuje implementacija robusnih mogućnosti zapisivanja krajnje točke, uključujući korištenje dodatnog zapisivanja na razini procesa za poboljšanu pokrivenost otkrivanjem.
