SSLCarica malware
Gli analisti della sicurezza hanno portato alla luce un attacco informatico persistente che utilizza e-mail di phishing per distribuire un ceppo di malware noto come SSLoad. Soprannominata FROZEN#SHADOW, questa campagna utilizza Cobalt Strike insieme a ConnectWise ScreenConnect per l'accesso desktop remoto.
L'obiettivo principale di SSLoad è l'infiltrazione clandestina, l'esfiltrazione di dati e la comunicazione clandestina con il suo centro di comando. In caso di violazione, SSLoad installa varie backdoor e payload per garantire la presenza a lungo termine ed eludere il rilevamento.
Sommario
I diversi vettori di infezione utilizzati dai criminali informatici
Le catene di attacco implicano l'utilizzo di messaggi di phishing che prendono di mira organizzazioni in Asia, Europa e nelle Americhe. Queste e-mail contengono collegamenti che portano a file JavaScript, avviando il processo di infezione.
Precedenti risultati dei ricercatori evidenziano due distinti metodi di distribuzione per SSLoad. Un metodo utilizza moduli di contatto del sito Web per incorporare URL dannosi, mentre l'altro utilizza documenti Microsoft Word abilitati per le macro. In particolare, quest'ultimo metodo facilita la distribuzione di Cobalt Strike tramite malware, mentre il primo distribuisce un'altra variante del malware nota come Latrodectus , potenzialmente succedutaa IcedID .
Come funziona l'attacco SSLoad?
Il file JavaScript oscurato ('out_czlrh.js') viene eseguito tramite wscript.exe, avviando un processo per recuperare un file di installazione MSI ('slack.msi') da una condivisione di rete in '\wireoneinternet[.]info@80\share' . Una volta ottenuto, il programma di installazione utilizza msiexec.exe per essere eseguito.
Successivamente, il programma di installazione MSI stabilisce un contatto con un dominio controllato dall'aggressore per acquisire e distribuire il payload del malware SSLoad tramite rundll32.exe. Successivamente, il sistema compromesso invia segnali a un server di comando e controllo (C2), trasmettendo informazioni.
Questa fase iniziale di ricognizione pone le basi per Cobalt Strike, un legittimo software di simulazione dell'avversario, che viene utilizzato per scaricare e installare ScreenConnect. Ciò consente agli autori delle minacce di ottenere il controllo remoto sull'host.
Gli aggressori infettano i dispositivi nella rete della vittima e compromettono dati sensibili
Dopo aver ottenuto l'accesso completo al sistema, gli autori delle minacce avviano l'acquisizione delle credenziali e raccolgono informazioni cruciali sul sistema. I criminali informatici iniziano a scansionare l'host della vittima alla ricerca di credenziali archiviate all'interno di file e altri documenti potenzialmente sensibili.
Inoltre, gli aggressori si rivolgono ad altri sistemi all'interno della rete, incluso il controller di dominio, violando infine il dominio Windows della vittima creando il proprio account di amministratore di dominio.
Questo elevato livello di accesso garantisce agli attori malintenzionati l'accesso a qualsiasi macchina connessa all'interno del dominio. In definitiva, questo scenario rappresenta il risultato peggiore per qualsiasi organizzazione, poiché la persistenza raggiunta dagli aggressori richiede molto tempo e risorse per la risoluzione.
Adotta misure contro campagne di attacco come FROZEN#SHADOW
Il phishing rimane il metodo principale utilizzato dagli autori delle minacce per eseguire violazioni di successo, introducendo malware e compromettendo i sistemi interni. È fondamentale che gli utenti in prima linea riconoscano queste minacce e comprendano come identificarle. Prestare attenzione alle e-mail non richieste, in particolare a quelle con contenuti inaspettati o che danno un senso di urgenza.
In termini di prevenzione e rilevamento, i ricercatori suggeriscono di astenersi dal scaricare file o allegati da fonti esterne sconosciute, soprattutto se non richiesti. I tipi di file più comuni utilizzati negli attacchi includono zip, rar, iso e pdf, con i file zip utilizzati in particolare in questa campagna. Inoltre, si consiglia di monitorare le directory di gestione temporanea del malware comunemente prese di mira, in particolare per l'attività correlata agli script nelle directory scrivibili.
Nel corso delle varie fasi della campagna FROZEN#SHADOW, gli autori delle minacce hanno utilizzato canali crittografati sulla porta 443 per eludere il rilevamento. Pertanto, si consiglia vivamente di implementare solide funzionalità di registrazione degli endpoint, incluso lo sfruttamento di registrazioni aggiuntive a livello di processo per una migliore copertura del rilevamento.
