SSLoad Malware
Biztonsági elemzők egy tartós kibertámadásra bukkantak, amely adathalász e-maileket használ az SSLoad néven ismert rosszindulatú programtörzs terjesztésére. A FROZEN#SHADOW névre keresztelt kampány a Cobalt Strike-ot alkalmazza a ConnectWise ScreenConnect mellett a távoli asztali hozzáférés érdekében.
Az SSLoad elsődleges célja a titkos beszivárgás, az adatok kiszűrése és a rejtett kommunikáció a parancsnoki központtal. Szabálysértés esetén az SSLoad különféle hátsó ajtókat és rakományokat telepít a hosszú távú jelenlét biztosítása és az észlelés elkerülése érdekében.
Tartalomjegyzék
A kiberbűnözők által használt különböző fertőzési vektorok
A támadási láncok olyan adathalász üzenetek felhasználását foglalják magukban, amelyek Ázsiában, Európában és Amerikában találhatók. Ezek az e-mailek JavaScript-fájlokhoz vezető hivatkozásokat tartalmaznak, amelyek elindítják a fertőzési folyamatot.
A kutatók korábbi eredményei az SSLoad két különböző elosztási módszerét emelik ki. Az egyik módszer a webhely kapcsolatfelvételi űrlapjait használja a rosszindulatú URL-ek beágyazására, a másik pedig a makróképes Microsoft Word dokumentumokat. Nevezetesen, az utóbbi módszer megkönnyíti a Cobalt Strike rosszindulatú programokon keresztül történő kézbesítését, míg az előbbi egy másik, Latrodectus néven ismert malware-változatot terjeszt, amely potenciálisanaz IcedID utódja.
Hogyan működik az SSLoad támadás?
Az eltakart JavaScript-fájl ('out_czlrh.js') a wscript.exe-n keresztül fut le, elindítva egy MSI-telepítőfájl ('slack.msi') lekérését a '\wireoneinternet[.]info@80\share' címen található hálózati megosztásról. . Miután megszerezte, a telepítő az msiexec.exe fájlt használja a futtatáshoz.
Ezt követően az MSI telepítője kapcsolatot létesít a támadó által felügyelt tartományral, hogy megszerezze és telepítse az SSLoad kártevő rakományt a rundll32.exe fájlon keresztül. Ezt követően a kompromittált rendszer jeleket küld egy Command-and-Control (C2) szervernek, amely információkat továbbít.
Ez a kezdeti felderítési szakasz megalapozza a Cobalt Strike-ot, egy legitim ellenfél-szimulációs szoftvert, amelyet a ScreenConnect letöltésére és telepítésére használnak. Ez lehetővé teszi a fenyegetés szereplői számára, hogy távolról irányítsák a gazdagépet.
A támadók az áldozat hálózatán keresztül fertőzik meg az eszközöket, és veszélyeztetik az érzékeny adatokat
A teljes rendszer-hozzáférést követően a fenyegetés szereplői hitelesítő adatok beszerzését kezdeményezik, és összegyűjtik a kulcsfontosságú rendszerinformációkat. A kiberbűnözők elkezdik átvizsgálni az áldozat gazdagépét a fájlokban és más, potenciálisan érzékeny dokumentumokban tárolt hitelesítő adatok után.
Ezen túlmenően a támadók a hálózaton belül más rendszerekhez fordulnak, beleértve a tartományvezérlőt is, és végül saját tartományadminisztrátori fiókjuk létrehozásával megsértik az áldozat Windows-tartományát.
Ez a magas szintű hozzáférés hozzáférést biztosít a rosszindulatú szereplőknek a tartományon belüli bármely csatlakoztatott géphez. Végső soron ez a forgatókönyv a legrosszabb eredményt jelenti bármely szervezet számára, mivel a támadók kitartása sok időt és erőforrást igényel a helyreállításhoz.
Tegyen intézkedéseket az olyan támadókampányok ellen, mint a FROZEN#SHADOW
Az adathalászat továbbra is a leghatékonyabb módszer a fenyegetések szereplői számára a sikeres jogsértések végrehajtására, rosszindulatú programok bevezetésére és belső rendszerek feltörésére. Nagyon fontos, hogy a frontvonalbeli felhasználók felismerjék ezeket a fenyegetéseket, és megértsék, hogyan azonosíthatják őket. Legyen körültekintő a kéretlen e-mailekkel, különösen a váratlan tartalommal vagy sürgősséggel teli e-mailekkel.
A megelőzés és felderítés szempontjából a kutatók azt javasolják, hogy tartózkodjanak az ismeretlen külső forrásból származó fájlok vagy mellékletek letöltésétől, különösen, ha azok kéretlenek. A támadásoknál általánosan használt fájltípusok közé tartozik a zip, a rar, az iso és a pdf, a zip-fájlok pedig különösen hasznosak ebben a kampányban. Ezenkívül javasolt a rosszindulatú programok általánosan megcélzott állomásozókönyvtárainak figyelése, különösen az írható könyvtárakban végzett szkriptekkel kapcsolatos tevékenységek esetében.
A FROZEN#SHADOW kampány különböző szakaszaiban a fenyegetés szereplői a 443-as porton keresztül titkosított csatornákat használtak az észlelés elkerülésére. Ezért erősen ajánlott robusztus végpontnaplózási képességek telepítése, beleértve a további folyamatszintű naplózást a fokozott észlelési lefedettség érdekében.
